Modifier des CGI et droits de root

par **Duck** » 07 Août 2003 16:26

Je viens de modifier proxy.cgi pour ajouter le moyen de controler squidGuard, adzapper, delays pools et acl. Le mod fonctionne bien: écrit sur acl et sur wrapzap la configuration qui trouve dans des autres fichiers, qui je modifie à main. Mais je ne sais pas comme faire exécuter des instructions de shell qui ont besoin des droits de root (iptables -t nat... par example). Proxy.cgi exécute restartsquid, qui est un binaire qui peut modifier le prerouting, donc il a les droits de root, lorsque les cgi sont nobody. quel est le truc?

par **GozerX99** » 07 Août 2003 18:08

le setuid peut-être ? quand tu fais ls -l du fichier .cgi, si il y a un "s" à la place du 1er "x" dans les permissions rwxrwxrwx, c'est que le fichier va s'éxécuter automatiquement avec les droits "root" M'enfin c'est qu'une hypothèse à vérifier ...

par **Gesp** » 07 Août 2003 19:18

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE>Mais je ne sais pas comme faire exécuter des instructions de shell qui ont besoin des droits de root (iptables -t nat... par example). </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Soit tu te contentes de relancer le restartxxx si cela te suffit, sinon tu dois en créer de nouveaux et les compiler. Regarde dans les sources de ces programmes.

par **Duck** » 07 Août 2003 21:45

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-08-07 19:18, Gesp a écrit: Soit tu te contentes de relancer le restartxxx si cela te suffit, sinon tu dois en créer de nouveaux et les compiler. Regarde dans les sources de ces programmes. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Donc le perl n'a pas le moyen de gagner les droits de root. C'est que restartsquid efface la chain SQUID, quand je voudrais créer des règles personalizées: iptables -t nat -I SQUID -i eth0 -m mac --mac-source 00-A0-0C-90-1C-84 -p tcp --dport 80 -j RETURN iptables -t nat -I SQUID -i eth0 -m mac --mac-source 00:80:c8:4c:7e:b4 -p tcp --dport 80 -j RETURN iptables -t nat -A SQUID -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 800 pour excluder quelque personne du redirect. Mais chaque fois que j'utilise proxi.cgi, restartsquid flush la chaine et je dois modifier ipatbles à travers le shell.

par **Gesp** » 07 Août 2003 22:26

Je crois que la bonne manière de faire est d'ajouter ses règles personalisées dans rc.local en définissant les variables CUSTOM qui sinon sont vides par défaut dans rc.firewall # CUSTOM chains, can be used by the users themselves /sbin/iptables -N CUSTOMINPUT /sbin/iptables -A INPUT -j CUSTOMINPUT /sbin/iptables -N CUSTOMFORWARD /sbin/iptables -A FORWARD -j CUSTOMFORWARD /sbin/iptables -t nat -N CUSTOMPREROUTING /sbin/iptables -t nat -A PREROUTING -j CUSTOMPREROUTING rc.local n'étant lancé que rc.sysinit, il faut soit lancer rc.local à la main soit rebooter pour créer les variables C'est expliqué un tout petit peu là <a href="http://marc.theaimsgroup.com/?l=ipcop-devel&m=105017161908813&w=2" target="_blank">http://marc.theaimsgroup.com/?l=ipcop-devel&m=105017161908813&w=2</a> Peut-être que c'est plus en détail dans le manuel (je dois avouer que je ne l'ai pas lu)

par **Duck** » 07 Août 2003 23:46

Merci, mais j'utilise déja rc.local pour tous mes règles, pour ajouter des routes, pour lancer cqb.init et bloquer toute acces à l'extérieur, sauf les portes communes. J'aurais voulu ne perdre pas les régles en SQUID chaque fois que je change le fonctionnement du proxy. <IMG SRC="images/smiles/icon_smile.gif">

par **Gesp** » 08 Août 2003 08:27

Alors je pense qu'il faudrait s'inspirer de setdmzholes.c pour modifier restartsquid.c setdmzholes relit le fichier dmzholes/config pour configurer les règles de la DMZ. Je pense que Dansguardian permet de faire le même genre de filtrage sans ces changements.

Modifier des CGI et droits de root

Qui est en ligne ?