Befehl "halt" - entschärfen

Post Reply
Message
Author
roliko
Posts: 98
Joined: 30. Jun 2000 21:04
Location: Linz

Befehl "halt" - entschärfen

#1 Post by roliko »

meine frage wäre ob es möglich ist den befehl halt zu "entschärfen". also was ich damit meine ist, wenn man den befehl eintippt und mit enter bestätigt dass noch eine "sicherheitsabfrage" kommt. so nach dem M$ prinzip ob man sich sicher ist was man machen will.

mfg
Roland

marcus1978
Posts: 42
Joined: 14. Feb 2002 19:53

Re: Befehl

#2 Post by marcus1978 »

Hmm, also ich würde das in das halt-Script reinpacken

Descartes

Re: Befehl

#3 Post by Descartes »

Darf ein normaler User denn das System anhalten ?
Das kann man doch sicher entsprechend konfigurieren dass das nicht geht.

Ansonsten:
Bei "init 0" oder "init 6" kommt ebenfalls keine Sicherheitsabfrage (als root).

Jochen

Re: Befehl

#4 Post by Jochen »

Gerade habe ich einen netten Adrenalinstoss verpasst bekommen...

Ich lese also diesen Thread und denk mir so: "halt entschärfen? Kann ein User doch sowieso nicht starten, und ob man als root 'halt', 'init 0' oder 'shutdown -h now' eingibt ist eh egal..." Und aus reinem Übermut gebe ich in eine Konsole als User "halt" ein.

Als das System runterfährt, erlebe ich o.a. Adrenalinstoss. Kostet mich ja bloss 15 Minuten meines Lebens... <img src="http://www.pl-forum.de/UltraBoard/Images/TooHappy.gif" border="0" align="middle">

Also System wiederbelebt, Berechtigung von "/sbin/halt" gecheckt, alles normal, kein SUID-Recht. Habe ich schlecht geträumt? Als Normal-User angemeldet, mittels "id" gecheckt, "halt" eingeben - System fährt runter. WTF?!?

System wiederbelebt. Als erstes PATH-Variable geprüft - aha, kein /sbin im Pfad! "which halt" ergibt /usr/bin/halt" - <i>staun</i>... Aber das ist auch keine Datei, sondern ein Link auf "consolehelper"! Und "man consolehelper" lässt endlich das Licht aufgehen.

Mittels dieses Kommandos kann man erreichen, dass ein Konsolenuser Programme ausführen darf, die sonst nur root erlaubt sind. Genauer: Wenn man consolehelper über /usr/bin/progname aufruft, startet es /sbin/progname, wenn die Authentifizierung mittels PAM gelingt. Kurz /etc/pam.d gecheckt: Tatsächlich, da gibt es eine Datei namens "halt". Wird diese umbenannt, kann ein User solange "halt" oder "/sbin/halt" tippen, wie er will - nix passiert.

Auch wenn das jetzt OT war, musste ich es einfach mal loswerden. Dieses Verhalten sehe ich hier bei Red Hat 7.3 zum ersten Mal, und ich halte es für groben Unfug.

@Marcus: halt ist kein Skript. Und ich würde es auch nicht umbenennen und ein Skript drumherum packen, da "halt" das Kommando ist, dass den Kernel nach dem Wechsel in Runlevel 0 tatsächlich stilllegt.

Ansonsten sollte man die Tatsache, dass man sich für halt/init/shutdown als root anmelden muss als Sicherheitsabfrage sehen. Wenn Du Deine täglichen Arbeiten am System ständig unter der root-Kennung machst, solltest Du aus Sicherheitsgründen Deine Arbeitsweise umstellen.

Jochen

Jochen

Re: Befehl

#5 Post by Jochen »

Kleine Ergänzung:

Solltest Du trotzdem so eine Sicherheitsabfrage wollen, wäre die einfachste Lösung ein <blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">alias halt="echo 'RETURN für Shutdown, CTRL-C für Abbruch' ; read JUNK ; halt"</font><hr></pre></blockquote>in der .bashrc oder .bash_profile von root.

Nicht, dass ich das gut finden würde, aber wo ich schon mal so OT geworden bin, will ich jetzt auch mal was zur Sache sagen <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">.

Jochen

panthera

Re: Befehl

#6 Post by panthera »

@jochen

das ist nicht neu in 7.3 sonder wurde iirc mit 7.0 als feature "eingefuehrt"

Jochen

Re: Befehl

#7 Post by Jochen »

Uffa... Und ich hab's die ganze Zeit nicht gemerkt, da ich "halt" kaum verwende. ("halt" ist 'ne schlechte Angewohnheit, wenn man auch mit Solaris-Maschinen zu tun hat. <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> )

Danke, panthera, gut zu wissen. Morgen habe ich ein paar Maschinen umzukonfigurieren.

Jochen

feldsee
Posts: 100
Joined: 12. Feb 2001 15:50
Location: Mainz
Contact:

Ein wenig OT

#8 Post by feldsee »

In irgend einem klugen Buch habe ich einmal gelesen, einem Normaluser solle das Runterfahren des Systems keinesfalls verwehrt werden, wenn dieser Zugriff zum AUS-Schalter des Rechners habe.

Ist doch irgendwo erwägenswert, oder?

feldsee.

Post Reply