petterg Skrevet 8. mai 2004 Del Skrevet 8. mai 2004 Skulle gjerne hatt en måte for en webside å sjekke om brukernavnet/passordet en bruker oppgir for å logge på en webside er det samme som system passordet. Dette skal helst skje uten å måtte gi apache lesetilgang på /etc/shadow. Det må da finnes en måte å gjøre det på? Prøvde http://www.math.ohio-state.edu/~ccunning/pam_auth/ Syns den virka lovende helt til det viste seg at man må gi apache lese tilgang på /etc/shadow. Det gir jo en vanlig bruker mulighet til å lage et php script som gjør: echo exec('cat /etc/shadow') og dermed kunne lese hele fila! (Systemet bruker altså PAM og shadow) Lenke til kommentar
Neo Skrevet 9. mai 2004 Del Skrevet 9. mai 2004 hmm... hva med å lage et lite perl/bash script på maskinen og sette en "setuid" bit på den slik at den kjøres som root. Deretter gi apache kjørerettigheter til denne filen som da returnerer f.eks "true" eller "false" avhengig om det var et gyldig passord eller ikke? Lenke til kommentar
petterg Skrevet 10. mai 2004 Forfatter Del Skrevet 10. mai 2004 SUID funker vel dårlig på bash script. Var det jeg prøvde først, men apache fikk ikke root access på prosessene som ble brukt i scriptet. Tenkte også på å kjøre "echo passord | su bruker -c /bin/true", men su nekter gir meldingen "su must be run from terminal". Flere forslag? (Evt forslag til hvordan jeg kunne laget et script som godtar SUID? Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå