Script: open und stat als setuid root zulassen, andere Systemrufe nicht

03/07/2008 - 15:11 von Thomas Guettler | Report spam
Hallo,

ein Python Script eines Systemnutzers soll die Systemrufe open(..., "r"),
und stat() auf bestimmte Log-Dateien aufrufen dürfen.

- sudo geht nicht, weil das Script als normaler Nutzer verwaltet wird.
Da könnte der Nutzer dann ja alles als root machen.
- File Capabilities geht wohl auch nicht, weil nur bestimmte Dateien
geöffnet werden dürfen.

Wie könnte man das Script die Rechte geben?

Dem Script "sudo cat /var/log/" und "sudo stat /var/log/..." freizuschalten
ist aus meiner Sicht keine gute Lösung.

Hat jemand noch eine Idee?

Unter NetBSD habe ich mal gesehen, dass man mit regulàren Ausdrücken einem
Prozess einzelne Systemrufe verbieten/erlauben darf. Gibt es so etwas
auch für Linux?

Gruß,
Thomas

Thomas Guettler, http://www.thomas-guettler.de/
E-Mail: guettli (*) thomas-guettler + de
 

Lesen sie die antworten

#1 Sebastian Wiesner
03/07/2008 - 17:33 | Warnen spam
Thomas Guettler :

Unter NetBSD habe ich mal gesehen, dass man mit regulàren Ausdrücken einem
Prozess einzelne Systemrufe verbieten/erlauben darf. Gibt es so etwas
auch für Linux?



Unter einem Standardlinux gibt es da nicht wirklich etwas, was über
Capabilities und sudo hinausgeht. Eventuell bieten SELinux und AppArmor
dieser Funktionalitàt, aber ich frage mich, ob es den Aufwand wirklich wert
ist.

Freiheit ist immer die Freiheit der Andersdenkenden.
(Rosa Luxemburg)

Ähnliche fragen