[Debian/Packages] Exécution des programmes en tant que root
Exécution des programmes en tant que root [Debian/Packages] - Logiciels - Linux et OS Alternatifs
Marsh Posté le 05-08-2007 à 12:24:08
squoi cette connerie ? apache tourne en tant que www-data
---------------
Blog photo/récits activités en montagne http://planetcaravan.net
Marsh Posté le 05-08-2007 à 12:31:05
Code :
|
J'ai un process qui tourne comme ça, les autres sont en www-data
Marsh Posté le 05-08-2007 à 12:38:28
normal.
une isntance de apache lancé en root car le protocole HTTP (ou HTTPS) écoute sur le port 80 (443) < 1024 ce qui nécéssite d'être root
ensuite cette isntance s'occupe de lancer x instances (cleon ta conf) d'apache avec l'utilisateur www-data, donc avec des droits limités.
l'isntance alncé avec root ne sert qu'a géré les x autres instances qui répondront aux requetes http
---------------
Blog photo/récits activités en montagne http://planetcaravan.net
Marsh Posté le 06-08-2007 à 12:57:02
| Citation : écoute sur le port 80 (443) < 1024 ce qui nécéssite d'être root |
on peut faire ca avec sys ?
---------------
Au royaume des aveugles, les borgnes sont rois xo0
Marsh Posté le 06-08-2007 à 17:44:30
| redvivi a écrit : Bah...je pense que oui |
quel interet ?
---------------
Blog photo/récits activités en montagne http://planetcaravan.net
Marsh Posté le 06-08-2007 à 18:54:53
| redvivi a écrit : Bah...je pense que oui |
ben non, il faut être root (ou avoir les mêmes droits que lui, ce qui revient à peu près au même) pour ouvrir un port < 1024.
la séparation des privilèges sert justement à palier ça.
Message édité par Mjules le 06-08-2007 à 19:22:54
---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Marsh Posté le 06-08-2007 à 19:20:28
Juste pour info il existe des techniques pour autoriser un utilisateur non root à ouvrir une socket sur un port inférieur à 1024 :
pour cela il faut passer à la socket : CAP_NET_BIND_SERVICE en "option"
ainsi que le package :
> apt-cache show libcap-bin |
---------------
Relax. Take a deep breath !
Sujets relatifs:
- Debian etch - GDM - nvidia - Beryl
- [Debian] Differnece entre paquet, ex : dia
- Debian Etch, problèmes avec APT
- [ Debian Etch ] Question sur update-rc.d
- [debian] Erreur recompilation noyau 2.6.21
- [SVN] Exécution locale des fichiers du depot
- [Debian] Problème d'installation (Serveur X et Disque dur SATA)
- Debian plus de noyau
- Installation debian sur clef USB
- [résolu][debian] Souris USB non attachée
Marsh Posté le 05-08-2007 à 12:21:57
Bonjour à tous !
J'ai une question à propos des packages installés via aptitude, j'ai remarqué que plusieurs programmes comme apache tournent en tant que root, tandis que mysql par exemple utilise un compte spécifique.
Je me demandais si je ne devrais pas modifier les droits d'éxécution de ces programmes qui tournent en tant que root pour qu'ils tournent avec un compte système dédié (comment fait-on ?). A moins qu'il y ait une raison logiciel qui fait qu'il vaut mieux les laisser tourner en tant que root ?
Merci d'avance !
RedVivi