[Debian/Packages] Exécution des programmes en tant que root

Exécution des programmes en tant que root [Debian/Packages] - Logiciels - Linux et OS Alternatifs

Marsh Posté le 05-08-2007 à 12:21:57    

Bonjour à tous !
 
         J'ai une question à propos des packages installés via aptitude, j'ai remarqué que plusieurs programmes comme apache tournent en tant que root, tandis que mysql par exemple utilise un compte spécifique.
 
         Je me demandais si je ne devrais pas modifier les droits d'éxécution de ces programmes qui tournent en tant que root pour qu'ils tournent avec un compte système dédié (comment fait-on ?). A moins qu'il y ait une raison logiciel qui fait qu'il vaut mieux les laisser tourner en tant que root ?
 
Merci d'avance !
RedVivi

Reply

Marsh Posté le 05-08-2007 à 12:21:57   

Reply

Marsh Posté le 05-08-2007 à 12:24:08    

squoi cette connerie ? apache tourne en tant que www-data


---------------
Blog photo/récits activités en montagne http://planetcaravan.net
Reply

Marsh Posté le 05-08-2007 à 12:31:05    

Code :
  1. ps aux |grep apache |grep root
  2. root      3456  0.0  0.7  20188  7196 ?        Ss   11:53   0:00 /usr/sbin/apache


 
J'ai un process qui tourne comme ça, les autres sont en www-data

Reply

Marsh Posté le 05-08-2007 à 12:38:28    

normal.
 
une isntance de apache lancé en root car le protocole HTTP (ou HTTPS) écoute sur le port 80 (443) < 1024 ce qui nécéssite d'être root
 
ensuite cette isntance s'occupe de lancer x instances (cleon ta conf) d'apache avec l'utilisateur www-data, donc avec des droits limités.
 
l'isntance alncé avec root ne sert qu'a géré les x autres instances qui répondront aux requetes http


---------------
Blog photo/récits activités en montagne http://planetcaravan.net
Reply

Marsh Posté le 06-08-2007 à 09:29:30    

Pourquoi ne pas utiliser sys plutot que root ?

Reply

Marsh Posté le 06-08-2007 à 12:57:02    

Citation :

écoute sur le port 80 (443) < 1024 ce qui nécéssite d'être root


 
on peut faire ca avec sys ?


---------------
Au royaume des aveugles, les borgnes sont rois xo0
Reply

Marsh Posté le 06-08-2007 à 17:33:35    

Bah...je pense que oui

Reply

Marsh Posté le 06-08-2007 à 17:44:30    

redvivi a écrit :

Bah...je pense que oui


quel interet ?


---------------
Blog photo/récits activités en montagne http://planetcaravan.net
Reply

Marsh Posté le 06-08-2007 à 18:54:53    

redvivi a écrit :

Bah...je pense que oui


ben non, il faut être root (ou avoir les mêmes droits que lui, ce qui revient à peu près au même) pour ouvrir un port < 1024.

 

la séparation des privilèges sert justement à palier ça.


Message édité par Mjules le 06-08-2007 à 19:22:54

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 06-08-2007 à 19:20:28    

Juste pour info il existe des techniques pour autoriser un utilisateur non root à ouvrir une socket sur un port inférieur à 1024 :
pour cela il faut passer à la socket : CAP_NET_BIND_SERVICE en "option"
ainsi que le package :

> apt-cache show libcap-bin  
Package: libcap-bin
Priority: optional
Section: devel
Installed-Size: 84
Maintainer: Michael Vogt <mvo@debian.org>
Architecture: i386
Source: libcap
Version: 1:1.10-14
Replaces: libcap-progs
Depends: libcap1
Filename: pool/main/libc/libcap/libcap-bin_1.10-14_i386.deb
Size: 16064
MD5sum: 58a08b0b36dc4e53a477cbba0eb5b359
SHA1: 631e71529575d405e6c139b959e34530d06d0060
SHA256: db012138faf5cf957f806b9a244943e819943a15073f21f8bbf1aae1ec02ab07
Description: basic utility programs for using capabilities
 This packages contains the programs sucap, execap, getpcaps, setpcaps
 for manipulation of capabilities.
Tag: devel::library, interface::commandline, role::program, scope::utility, works-with::software:running


---------------
Relax. Take a deep breath !
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed