skrypt w bashu przez www ? Opcje

[todziu]

Witam - jak moge uruchomic jakis skrypcik napisany w bashu:

//plik_bash
#!/bin/bash
iptables -D INPUT -s 0/0 -p tcp --dport 3306 -j DROP

Poprzez panel www:

//odczyt.php

[PHP] pobierz, plaintext 
<?php
print("<PRE>");
system("/var/www/cgi-bin/plik");
print("<PRE>");
?>
[PHP] pobierz, plaintext 

system , exec itp nie dzialaja w logach dostaje :
iptables v1.3.3: can't initialize iptables table `filter': Permission denied (you must be root)" title="Zobacz w manualu PHP" target="_manual

(mam uprawnienia root-a na serverze) słyszałem ze mozna to zrobic poprzez CGI tylko nie mam pojecia jak sie do tego zabrac - dzieki

[webdice]

PHP na serwerze musisz zainstalować jako root, innego sposobu nie znam.

[todziu]

tak ale wtedy kazdy skrypt php kazdego uzytkownika bedzie wykonywany z prawami root-a (IMG:http://forum.php.pl/style_emoticons/default/sad.gif)

[jackweb]

Ja za bardzo nie wiem, zawsze można objąć w ` `, np.:

[PHP] pobierz, plaintext 
<?php
echo `ls ./`
?>
[PHP] pobierz, plaintext 

[Fipaj]

A masz hasło roota? Wtedy możesz zrobić tak:

[PHP] pobierz, plaintext 
<?php
exec ('su -p "hasło"');
exec ('iptables...');
?>
[PHP] pobierz, plaintext 

Powinno zadziałaś, anyway, sam korzystam z sudo i nie pamiętam składni polecenia su, a jestem na WinGrozie akurat - przetestuj. (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[envp]

[PHP] pobierz, plaintext 
<?php
exec ('su -p "hasło"');
?>
[PHP] pobierz, plaintext 

A to ciekawe! (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Po pierwsze nie pojdzie, bo nie ma takiego parametru w "su" - znaczy jest ale nie do tego, a po drugie jakby jakims sposobem udalo ci sie wlaczyc tego admina, to i tak na kolejnym exec bedziesz mial id apache'a ...

[todziu]

jestem administratorem tego servera z hasłem nie ma problemu - jakies inne sugestie (IMG:http://forum.php.pl/style_emoticons/default/worriedsmiley.gif) tutaj chodzi przede wszystkim o polecenie iptables ono nie ma uprawnien root-a ;-( - wiem ze cos takiego mozna zrobic ludzie tworza takie panele adminagdzie poprzez www mozna tworzyc regułki firewalla na serverze dla sieci lokalnej

Ten post edytował todziu 16.03.2007, 15:06:21

[webdice]

To poszukaj takiego skryptu i podpatrz jak to jest zrobione.

[todziu]

(IMG:http://forum.php.pl/style_emoticons/default/laugh.gif) dobre

[envp]

jestem administratorem tego servera z hasłem nie ma problemu - jakies inne sugestie (IMG:http://forum.php.pl/style_emoticons/default/worriedsmiley.gif) tutaj chodzi przede wszystkim o polecenie iptables ono nie ma uprawnien root-a ;-(

Może daj sobie spokój z administracją *nix'ami ?

[Jabol]

Zrób SUID dla /var/www/cgi-bin/plik (bodajże `chmod 4755 plik`, oraz `chown root plik`). Wtedy powinno działać również dla PHP nie jako root.

[todziu]

(IMG:http://forum.php.pl/style_emoticons/default/angrysmiley.gif) tutaj nie chodzi o sam plik - chodzi o zawartosc tego pliku o prawa do wykonywania regułek iptables

Oto wynik działania przykładu Pana o dziwnie brzmiacej nazwie "envp" :
iptables v1.3.3: can't initialize iptables table `nat': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded." title="Zobacz w manualu PHP" target="_manual

pomysl zanim napiszesz, sprawdz zanim pomyslisz...

Szukałem, szukałem i cos wygrzebałem sudo tak dla przyszłych użytkowników mających styczność z tym problemem

[envp]

Oto wynik działania przykładu Pana o dziwnie brzmiacej nazwie "envp" :

Nie rozumie Cię. Po pierwsze nie dałem żadnego przykładu. Po drugie Twierdzisz ze jestes adminem serwera a nie wiesz co to sudo. Po trzecie odpalanie czegokolwiek z suidem z poziomu www jest strasznie niebezpieczne i dobrze nie zabezpieczone wiąże się z uzyskaniem "korzenia" na twoim serwerze... Po czwarte: W sieci jest peno skryptow do admnistrowania LAN'em (choćby LMS) wiec poszukaj sobie i poczytaj. Dziękuję za uwagę. Kamil

[todziu]

Wiesz szukałem tutaj pomocy w konkretnym problemie a nie uwag dotyczących mojej wiedzy na temat administracji nixami - nie ma sensu dalej nabijać licznika tego topica - (IMG:http://forum.php.pl/style_emoticons/default/offtopic.gif)

[radar]

a może lepiej wykorzystać komendę sudo?

sudo iptables ...

/etc/sudoers - ustawienia sudo

[kiler129]

A moze jednak tak: ?

[PHP] pobierz, plaintext 
<?php
exec ('sudo -p "XXX"');
//tutaj twoje komędy
?>
[PHP] pobierz, plaintext 

p.s. Mam wrażenie ze nie masz pojecie o linux.

[Jabol]

@killer129: A ja mam wrażenie, że nie masz pojęcia o procesach oraz, że nie czytałeś `man sudo`. exec wykonuje nowy proces i nie zmienia stutusu aktualnego procesu apache/php. Po drugie argument -p nie służy do podawania hasła, a do zmieniania tekstu, jakim program prosi Cię o hasło w trybie interaktywnym!

Osobiście oponuje cały czas za chmod 4755 /bla/bla.sh, albo jeszcze lepiej 4750. I wtedy możesz ustawić unikatową grupę, której członek może wykonać ten proces (np. apache), właściciel to oczywiście root, a inni i tak nic nie zdziałają. I tylko jeżeli w skrypcie nie spieprzysz logiki to będzie to rozwiązanie bezpieczne.

Pozdrawiam,
Adam W.

[oblus]

@Jabol "..jakim program prosi Cię o hasło w trybie interaktywnym!" : mysql (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)