meine frage wäre ob es möglich ist den befehl halt zu "entschärfen". also was ich damit meine ist, wenn man den befehl eintippt und mit enter bestätigt dass noch eine "sicherheitsabfrage" kommt. so nach dem M$ prinzip ob man sich sicher ist was man machen will.
mfg
Roland
Befehl "halt" - entschärfen
-
- Posts: 42
- Joined: 14. Feb 2002 19:53
Re: Befehl
Hmm, also ich würde das in das halt-Script reinpacken
Re: Befehl
Darf ein normaler User denn das System anhalten ?
Das kann man doch sicher entsprechend konfigurieren dass das nicht geht.
Ansonsten:
Bei "init 0" oder "init 6" kommt ebenfalls keine Sicherheitsabfrage (als root).
Das kann man doch sicher entsprechend konfigurieren dass das nicht geht.
Ansonsten:
Bei "init 0" oder "init 6" kommt ebenfalls keine Sicherheitsabfrage (als root).
Re: Befehl
Gerade habe ich einen netten Adrenalinstoss verpasst bekommen...
Ich lese also diesen Thread und denk mir so: "halt entschärfen? Kann ein User doch sowieso nicht starten, und ob man als root 'halt', 'init 0' oder 'shutdown -h now' eingibt ist eh egal..." Und aus reinem Übermut gebe ich in eine Konsole als User "halt" ein.
Als das System runterfährt, erlebe ich o.a. Adrenalinstoss. Kostet mich ja bloss 15 Minuten meines Lebens... <img src="http://www.pl-forum.de/UltraBoard/Images/TooHappy.gif" border="0" align="middle">
Also System wiederbelebt, Berechtigung von "/sbin/halt" gecheckt, alles normal, kein SUID-Recht. Habe ich schlecht geträumt? Als Normal-User angemeldet, mittels "id" gecheckt, "halt" eingeben - System fährt runter. WTF?!?
System wiederbelebt. Als erstes PATH-Variable geprüft - aha, kein /sbin im Pfad! "which halt" ergibt /usr/bin/halt" - <i>staun</i>... Aber das ist auch keine Datei, sondern ein Link auf "consolehelper"! Und "man consolehelper" lässt endlich das Licht aufgehen.
Mittels dieses Kommandos kann man erreichen, dass ein Konsolenuser Programme ausführen darf, die sonst nur root erlaubt sind. Genauer: Wenn man consolehelper über /usr/bin/progname aufruft, startet es /sbin/progname, wenn die Authentifizierung mittels PAM gelingt. Kurz /etc/pam.d gecheckt: Tatsächlich, da gibt es eine Datei namens "halt". Wird diese umbenannt, kann ein User solange "halt" oder "/sbin/halt" tippen, wie er will - nix passiert.
Auch wenn das jetzt OT war, musste ich es einfach mal loswerden. Dieses Verhalten sehe ich hier bei Red Hat 7.3 zum ersten Mal, und ich halte es für groben Unfug.
@Marcus: halt ist kein Skript. Und ich würde es auch nicht umbenennen und ein Skript drumherum packen, da "halt" das Kommando ist, dass den Kernel nach dem Wechsel in Runlevel 0 tatsächlich stilllegt.
Ansonsten sollte man die Tatsache, dass man sich für halt/init/shutdown als root anmelden muss als Sicherheitsabfrage sehen. Wenn Du Deine täglichen Arbeiten am System ständig unter der root-Kennung machst, solltest Du aus Sicherheitsgründen Deine Arbeitsweise umstellen.
Jochen
Ich lese also diesen Thread und denk mir so: "halt entschärfen? Kann ein User doch sowieso nicht starten, und ob man als root 'halt', 'init 0' oder 'shutdown -h now' eingibt ist eh egal..." Und aus reinem Übermut gebe ich in eine Konsole als User "halt" ein.
Als das System runterfährt, erlebe ich o.a. Adrenalinstoss. Kostet mich ja bloss 15 Minuten meines Lebens... <img src="http://www.pl-forum.de/UltraBoard/Images/TooHappy.gif" border="0" align="middle">
Also System wiederbelebt, Berechtigung von "/sbin/halt" gecheckt, alles normal, kein SUID-Recht. Habe ich schlecht geträumt? Als Normal-User angemeldet, mittels "id" gecheckt, "halt" eingeben - System fährt runter. WTF?!?
System wiederbelebt. Als erstes PATH-Variable geprüft - aha, kein /sbin im Pfad! "which halt" ergibt /usr/bin/halt" - <i>staun</i>... Aber das ist auch keine Datei, sondern ein Link auf "consolehelper"! Und "man consolehelper" lässt endlich das Licht aufgehen.
Mittels dieses Kommandos kann man erreichen, dass ein Konsolenuser Programme ausführen darf, die sonst nur root erlaubt sind. Genauer: Wenn man consolehelper über /usr/bin/progname aufruft, startet es /sbin/progname, wenn die Authentifizierung mittels PAM gelingt. Kurz /etc/pam.d gecheckt: Tatsächlich, da gibt es eine Datei namens "halt". Wird diese umbenannt, kann ein User solange "halt" oder "/sbin/halt" tippen, wie er will - nix passiert.
Auch wenn das jetzt OT war, musste ich es einfach mal loswerden. Dieses Verhalten sehe ich hier bei Red Hat 7.3 zum ersten Mal, und ich halte es für groben Unfug.
@Marcus: halt ist kein Skript. Und ich würde es auch nicht umbenennen und ein Skript drumherum packen, da "halt" das Kommando ist, dass den Kernel nach dem Wechsel in Runlevel 0 tatsächlich stilllegt.
Ansonsten sollte man die Tatsache, dass man sich für halt/init/shutdown als root anmelden muss als Sicherheitsabfrage sehen. Wenn Du Deine täglichen Arbeiten am System ständig unter der root-Kennung machst, solltest Du aus Sicherheitsgründen Deine Arbeitsweise umstellen.
Jochen
Re: Befehl
Kleine Ergänzung:
Solltest Du trotzdem so eine Sicherheitsabfrage wollen, wäre die einfachste Lösung ein <blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">alias halt="echo 'RETURN für Shutdown, CTRL-C für Abbruch' ; read JUNK ; halt"</font><hr></pre></blockquote>in der .bashrc oder .bash_profile von root.
Nicht, dass ich das gut finden würde, aber wo ich schon mal so OT geworden bin, will ich jetzt auch mal was zur Sache sagen <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">.
Jochen
Solltest Du trotzdem so eine Sicherheitsabfrage wollen, wäre die einfachste Lösung ein <blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">alias halt="echo 'RETURN für Shutdown, CTRL-C für Abbruch' ; read JUNK ; halt"</font><hr></pre></blockquote>in der .bashrc oder .bash_profile von root.
Nicht, dass ich das gut finden würde, aber wo ich schon mal so OT geworden bin, will ich jetzt auch mal was zur Sache sagen <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">.
Jochen
Re: Befehl
@jochen
das ist nicht neu in 7.3 sonder wurde iirc mit 7.0 als feature "eingefuehrt"
das ist nicht neu in 7.3 sonder wurde iirc mit 7.0 als feature "eingefuehrt"
Re: Befehl
Uffa... Und ich hab's die ganze Zeit nicht gemerkt, da ich "halt" kaum verwende. ("halt" ist 'ne schlechte Angewohnheit, wenn man auch mit Solaris-Maschinen zu tun hat. <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> )
Danke, panthera, gut zu wissen. Morgen habe ich ein paar Maschinen umzukonfigurieren.
Jochen
Danke, panthera, gut zu wissen. Morgen habe ich ein paar Maschinen umzukonfigurieren.
Jochen
Ein wenig OT
In irgend einem klugen Buch habe ich einmal gelesen, einem Normaluser solle das Runterfahren des Systems keinesfalls verwehrt werden, wenn dieser Zugriff zum AUS-Schalter des Rechners habe.
Ist doch irgendwo erwägenswert, oder?
feldsee.
Ist doch irgendwo erwägenswert, oder?
feldsee.