有人能帮我找出这里发生了什么吗?我设置了一些规则来跟踪数据包计数。当我以 root 身份运行以下脚本时:
#!/bin/bash
iptables -t mangle -xnvL
我得到了我期望的输出:
//snip
233203 199929802 MARK //blah blah blah
//snip
但是,我想将其作为 cacti 的一部分运行,而 cacti 又以 apache 的形式运行。现在 apache 无法运行 iptables,这就是我编写这个脚本的原因。我将其设置为 SUID root:
-rwsr-sr-x 1 root root 37 May 14 23:06 iptables_packet_report.sh
但后来我得到了这个输出:
server # sudo -u apache ./iptables_packet_report.sh
iptables v1.4.2: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
显然我的内核没有问题,而且我以非 root 身份运行它确实搞乱了一些东西,但我不明白为什么。我确实用 [演示]( 仔细检查了 SUIDhttp://en.wikipedia.org/wiki/Setuid#Demonstration并确认它正在发挥作用。
server # sudo -u apache ./printid
Real UID = 81
Effective UID = 0
Real GID = 81
Effective GID = 0
我的最终目标是在以 apache 形式运行时获取 iptables -t mangle -xnvL 的输出,以便我可以使用 cacti 很好地绘制所有图形。
答案1
您不能对 shell 脚本使用 SUID root。只有真正的程序才能是 SUID root,shell 脚本以“#!”开头,解释器必须运行 SUID,但由于某些我不知道的原因,这不起作用
查看 sudo 并安装它!编辑 /etc/sudoerrs,添加如下一行:
www-data ALL=NOPASSWD: /usr/local/sbin/iptables_packet_report.sh
然后运行
sudo /usr/local/sbin/iptables_packet_report.sh
从您的代码中。
然后它不应该要求输入密码,而是自动评估该过程。
我很确定如果你手动进入 www-data 并手动运行它,你的错误消息也会出现
答案2
正如 Christian 指出的那样,我的问题是我正试图在 shell 脚本上进行 SUID。 正如这里解释的那样在 shell 脚本上设置 SUID 是一个非常糟糕的主意:
在 UNIX 下执行 shell 脚本涉及两个步骤:当内核确定要运行 shell 脚本时,它首先启动 shell 解释器的 SUID 副本,然后 shell 解释器开始执行 shell 脚本。由于这两个操作分两个独立的步骤执行,因此您可以在第一步之后中断内核并切换 shell 解释器即将执行的文件。通过这种方式,攻击者可以让计算机执行他或她选择的任何 shell 脚本
因此,许多现代 Linux 发行版都忽略了 SUID shell 脚本,包括我使用的 gentoo。我能够编辑 sudoers 文件并使其正常工作。
答案3
我认为 Christian 的解决方案是最好的,但如果你真的想,你可以使用以下命令编译脚本韓國然后在编译的程序上设置uid root。