sslug-teknik team mailing list archive

[Anders Aspegren Søndergaard <andersas@xxxxxxxxx>]

On 4/13/05, Claus Alboege <csa@xxxxxxxxxx> wrote:

> > /var/log/rm.log skal selvfølgelig være skrivebar for alle.
> 
> hvilket betyder at alle kan lave en 'echo > /var/log/rm.log'...
> 

Ideen går ligesom af det med logningen, hvis alle kan skrive til logfilen.

Et hurtigt alternativ kunne være noget i retning af:

#!/bin/sh

logger `whoami`
logger $*
/bin/rm.real $*

Så tager syslog sig af logningen. Desværre kan du ikke helt selv
bestemme navnet på logfilen, det bliver dumpet til /var/log/messages
i stedet.


Hvis du virkelig vil have din egen logfil, som alle brugere skal kunne skrive
til, igennem rm scriptet, og ikke uden om, så vil jeg nok først prøve
med at sætte rm scriptet suid root, og så sørge for at rm.real bliver kørt
med den pågældende brugers rettigheder bagefter.

Du kunne også lave to scripts, ét der tager sig af logningen, som er suid root,
og et som tager sig af sletningen, som ikke er.

#!/bin/sh

/bin/rm.log $*
/bin/rm.real $*

Her rejser sig så et problem, hvor brugere kan skrive til loggen med 
rm.log, uden at bruge rm.real, så de kan få logget en sletning, der ikke
fandt sted.


-- 
Yesterday you should have eaten, drunken and been merry, for today, they
made it illegal.
50 Gmail invitationer, hvis nogle skulle være interesserede.
0100011101100101011001010110101100100001