Discussion :

[ggnore]

Bonjour.

J'ai besoin de faire lancer un démon qui scrute un port /dev/ttyS0 par n'importe quel utilisateur.
Ce démon, faxgetty, utilisé par hylafax, n'accepte d'être lancé que par le root.
J'ai donc installé sudo
Et pour fonctionner correctement, sudo nécessite que l'utilisateur soit membre du groupe root, sinon il ne peut pas scruter /etc/sudoers

Je dois donc rendre tous les utilisateurs qui sont suceptibles d'utiliser le fax membres du groupes root.

N'est ce pas un peu dangereux ?
Y a t il une solution alternative à laquelle je n'aurais pas pensé ?

[Smortex]

N'est ce pas un peu dangereux ?

Nooooooon (Sauf si qulqu'un se loggue)
A éviter on va dire !! root est exclusivement réservé a tout ce qui n'est pas utilisation normale du PC ... Tout autre usage est exclu !!

Y a t il une solution alternative à laquelle je n'aurais pas pensé ?

Une petite recherche à SUID ??

[tretsois]

Bonjour ggnore,
Depuis quand sudo impose un groupe particulier <- il est là pour permettre de contourner le pb de droit d'acces.
Autre chose un demon peut etre lance au demarage et rester actif ( voir les scripts de démmarage)!

LES UTILISATEURS NE DOIVENT PAS LANCER DE DEMON<- car un daemon a besoin d'avoir acces a des repertoires système et des droits d'acces à des partie de la mémoire protégé ! <- man init

Comme l'a dit Smortex "root est exclusivement réservé a tout ce qui n'est pas utilisation normale du PC" .
Vas tu autoriser un utilisateur de lancer la connexion internet? charger un module du noyaux?

[ggnore]

Voilà la problématique:
Tous les utilisateurs peuvent se connecter à internet et peuvent envoyer des fax.
La connexion à internet et l'envoi de fax utilisent le modem sur le port /dev/ttyS0
L'envoi de fax nécessite le lancement d'un démon qui scrute ce port.
La connexion à internet nécessite l'arrêt de ce démon, sinon ça marche pas.


Tout ce que vous me dites me paraît logique, mais également complètement en désaccord avec ce que je dois faire.
Je vais jeter un oeil du côté SUID...

[ggnore]

crw-rw---- 1 root tty 4, 64 oct 19 17:07 /dev/ttyS0

-rwxr-xr-x 1 root root 43600 jui 22 17:09 faxgetty

J'ai essayé de mettre un SUID sur faxgetty

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

chmod 4775 faxgetty

J'ai également essayé de faire un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

usermod test -Gtty

pour faire appartenir l'utilisateur test au groupe tty

Mais rien n'y fait, le démon ne se met pas en route...
Le lancement d'un démon a l'air d'être réservé au root, comme vous l'indiquiez.

J'ai l'impression que je suis obligé d'en revenir à ma solution pas securisée du tout qui consiste à faire appartenir tous mes utilisateurs au groupe root


Chais pas quoi faiiiiiiire.

[tretsois]

Donc à ce que je comprend ton modem fait office de fax -> une solution serait de séparer les deux si tu est en entreprise je ne vois pas de problème dans l'investissemment d'un modem routeur ( même ADSL tu en trouve pour moins d'une centaine d'euros.
Aussi cette solution te permettra de garantir une disponibilité permanante de tes deux lignes ( si qqun doit telecharger un mise à jour importante ou des pièces jointes importantes il aura sa connexion internet interrompu car root donnera ordre de couper la connexion pour libéré le device d'écoute afin de donner la main au fax.
Autres solution, n'est il pas possible d'avoir un device pour le fax et un autre pour le modem ( ne connaissant pas ton matériel je ne peux pas juger de la validité de mes dire )

[ggnore]

Le problème c'est que ça n'est pas une configuration standard qui va être utilisée.

La distrib sur laquelle je bosse va être installée chez des clients avec un logiciel de gestion.

Je ne peux pas forcer tous les clients à acheter un routeur. Je ne peux pas jurer non plus qu'ils auront l'adsl. Il faut que j'envisage tous les cas de figures, et que je m'assure de pouvoir les gérer.

Le cas que j'étudie, c'est le modem fait office de fax ET de modem branchés sur com0.

[tretsois]

C'est bien de vouloir envisager tous les cas.
Petite question tes clients sont ils linuxiens ou vont ils migrer?
Quelle est ta répartition de ces clients ( as tu eu les résultats de l'etude de marché? )
As tu envisagé le client qui possedras un matériel qui n'est pas reconnu par linux ?
Si tu est dans une SSII de migration vers l'open source c'est l'étude au cas par cas qui te dira quelle scénario envisager aprés listing du matériel. Car ton script est bien mais en cas de fausse manip tu risque d'avoir de gros pb ( un systeme dédié chez un client tournant sous linux doit être autonome à 100% sinon le contrat d'entretient se transformera en contrat d'interim pour un administrateur Linux à temps partiel ).
Je te conseil de revoir votre strtégie sur ce point avec ton chef de projet.
Car commencer à donner de tel droits à un utilisateur qui peut etre n'a jamais su faire une mise à jour sous windows est très délicat.
Si ton produit n'est que le logiciel tu peux simplement générer le fax en mode texte ou graphique vers un repertoire tampo paramétrable et c'est l'administarteur du systeme qui auras en charge de donner ou pas de tel droit !

[kacedda]

Salut

Mais normalement avec Sudo on peut donner l'acces root a une seule commande, donc ou est le probleme??

Meme si l'utilisateur peut lancer le demon, ca ne veut pas dire qu'il aura un acces root???!!?

Je comprend pas trop pourquoi sudo cree des failles:

[ggnore]

Salut

Mais normalement avec Sudo on peut donner l'acces root a une seule commande, donc ou est le probleme??

Meme si l'utilisateur peut lancer le demon, ca ne veut pas dire qu'il aura un acces root???!!?

Je comprend pas trop pourquoi sudo cree des failles:

la version de sudo que j'ai(la dernière) a un /etc/sudoers comme ça:

-r--r----- 1 root root 638 oct 19 11:54 /etc/sudoers

Ce qui veut dire que pour pouvoir utiliser sudo et donc être connecté en tant que root uniquement pour le lancement d'une commande, il faut impérativement appartenir au groupe root.
C'est l'appartenance à ce groupe root qui me pose problème.

[ggnore]

C'est bien de vouloir envisager tous les cas.
Petite question tes clients sont ils linuxiens ou vont ils migrer?
Quelle est ta répartition de ces clients ( as tu eu les résultats de l'etude de marché? )

Le but n'est pas de demander aux utilisateurs d'aller dans des xterm, mais bien d'utiliser le logiciel de gestion qu'on leur fournit, et d'avoir des couts moindres par rapport à windows (gratuité d'open office)
Mon entreprise est composé de 4 employés dont moi, donc l'étude de marché, on s'en tamponne le coquillard.

As tu envisagé le client qui possedras un matériel qui n'est pas reconnu par linux ?
Si tu est dans une SSII de migration vers l'open source c'est l'étude au cas par cas qui te dira quelle scénario envisager aprés listing du matériel. Car ton script est bien mais en cas de fausse manip tu risque d'avoir de gros pb ( un systeme dédié chez un client tournant sous linux doit être autonome à 100% sinon le contrat d'entretient se transformera en contrat d'interim pour un administrateur Linux à temps partiel ).
Je te conseil de revoir votre strtégie sur ce point avec ton chef de projet.
Car commencer à donner de tel droits à un utilisateur qui peut etre n'a jamais su faire une mise à jour sous windows est très délicat.

Je ne veux pas donner de tels droits aux utilisateurs, c'est pour cette raison que j'ai fait ce thread, et qu'il n'y a toujours pas résolu d'acrit dessus.

Si ton produit n'est que le logiciel tu peux simplement générer le fax en mode texte ou graphique vers un repertoire tampo paramétrable et c'est l'administarteur du systeme qui auras en charge de donner ou pas de tel droit !

Le but c'est quand même que mes scripts les rende un peu autonome. Si les clients doivent s'occuper de lancer des démons, allez jeter un coup d'oeil à /var/log,etc ... ça voudra dire que j'ai échoué.

[kacedda]

Et pourquoi ne pas changer le groupe de la cmd sudoers? et creer un groupe a toi

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
-r--r----- 1 root grpatoi 638 oct 19 11:54 /etc/sudoers

[ggnore]

[test@abbeville test]$ ls -l /etc/sudoers
-r--r----- 1 root root 638 oct 19 11:54 /etc/sudoers
[root@abbeville test]# chown root:users /etc/sudoers
[root@abbeville test]# sudo
sudo: /etc/sudoers is owned by gid 100, should be 0

parceque sudo veut que ça soit comme ça.

Peut être que je l'ai mal installé

[tretsois]

@-> kacedda Ce n'est pas sudo qui crées la faille mais cette appartenance au group root :/. le groupe root est le groupe 0 je t'invite à lire un peu la doc d'une install LFS pour comprendre ce que ce groupe représente et quels en sont les failles qui peuvent en découlé ( ex: /etc/password et /etc/password- regarde les droit )
@-> ggnore tu te tamponnes le coquillard d'une étude de marché c bien j'espere que vous n'avez pas tous cette mentalité :/ car tu verras que 90% des entreprises n'utilise pas le modem en fax mais ont un vrai fax.

[kacedda]

J'ai deja utiliser sudoers

Mais justement quand on l'utilise ca veut dire:
l'utilisateur user peut lancer la cmd cmd en tant que root
Ca veut pas dire que user a un acces root sur toute la machine(cest la que javais un doute) mais aparemment je suis hors sujet donc...

[tretsois]

@-> kacceda tu as parfaitement compris l'utilité de sudo mais un daemon n'est pas un binaire comme les autres c tout

[ggnore]

@-> kacedda Ce n'est pas sudo qui crées la faille mais cette appartenance au group root :/. le groupe root est le groupe 0 je t'invite à lire un peu la doc d'une install LFS pour comprendre ce que ce groupe représente et quels en sont les failles qui peuvent en découlé ( ex: /etc/password et /etc/password- regarde les droit )

Le problème c'est que:
1. je dois lancer le démon en tant que root sinon il ne se lance pas
2. pour lancer sudo, et donc pour me logger en tant que root pour une commande, les utilisateurs doivent appartenir au groupe root

@-> ggnore tu te tamponnes le coquillard d'une étude de marché c bien j'espere que vous n'avez pas tous cette mentalité :/ car tu verras que 90% des entreprises n'utilise pas le modem en fax mais ont un vrai fax.

Je sais que beaucoup d'entreprises ont un véritable fax. Le truc c'est qu'on veut faire un maximum de chose sans intervention humaines; on pourrait très bien demander au logiciel de gestion d'imprimer une page, et laisser l'utilisateur insérer cette feuille dans le fax, le laisser numéroter sur le fax, le laisser jeter la feuille dont il n'a plus besoin à la poubelle. Mais on veut automatiser tout ça.
Si tu as un méthode pour faire communiquer un ordinateur avec un fax, je suis tout ouïe.

[ggnore]

J'ai deja utiliser sudoers

Mais justement quand on l'utilise ca veut dire:
l'utilisateur user peut lancer la cmd cmd en tant que root
Ca veut pas dire que user a un acces root sur toute la machine(cest la que javais un doute) mais aparemment je suis hors sujet donc...

Tu n'es pas du tout hors sujet. C'est bien sudo que je veux utiliser.
Mais je n'arrive pas à faire marcher sudo avec un utilisateur qui n'est pas root ou qui n'appartient pas au groupe root.

[tretsois]

@-> ggnore voici quelquechose qui est assez rependu en entreprise tu comprendras mieux pourquoi je te dit etudes du marche et que ce que tu veux faire est inutile: je pense qu'en dessous de de 20 clients réels qui auront ton pb de connection rtc/fax tu en aura pour moins chère de fournir une seconde carte interne qui fera office de fax.
http://www.office.xerox.com/perl-bin...orce=France_fr <- ce type de produit est plus répendu que des modem rtc/fax en entreprise !

En ce qui concerne la communication pc/fax il y a une norme car un fax qui communique avec un pc celà est de type modem 0 ( modem nul <- qui as dit rs232?) on peut aussi mettre dedans les imprimante fax.

[ggnore]

@-> ggnore voici quelquechose qui est assez rependu en entreprise tu comprendras mieux pourquoi je te dit etudes du marche et que ce que tu veux faire est inutile: je pense qu'en dessous de de 20 clients réels qui auront ton pb de connection rtc/fax tu en aura pour moins chère de fournir une seconde carte interne qui fera office de fax.
http://www.office.xerox.com/perl-bin...orce=France_fr <- ce type de produit est plus répendu que des modem rtc/fax en entreprise !

En ce qui concerne la communication pc/fax il y a une norme car un fax qui communique avec un pc celà est de type modem 0 ( modem nul <- qui as dit rs232?) on peut aussi mettre dedans les imprimante fax.

quand mon entreprise vend son logiciel de gestion, elle s'arrange également pour vendre TOUT le matériel qui va avec. Nous n'avons que faire de l'existant.

Par ailleurs, les modems internes sont une plaie sous linux (souvent ceux sont des winmodem)

Je ne veux pas une solution alternative. Merci de me dire que ce je fais est inutile ou même voué à l'échec, mais j'en ai rien à faire.

Mon patron veut que je fasse ça, je le fais.
Si tu veux pouvoir expliquer à d'autres gens ce qu'ils doivent faire, monte ta boîte.

Je cherche une solution à mon problème, pas à éviter le problème.