谁能帮我找出这里发生了什么?我有一些规则设置跟踪数据包计数。当我以 root 身份运行以下脚本时:
#!/bin/bash
iptables -t mangle -xnvL
我得到了我期望的输出:
//snip
233203 199929802 MARK //blah blah blah
//snip
但是,我想将它作为 cacti 的一部分运行,它作为 apache 运行。现在 apache 无法运行 iptables,这就是我有脚本的原因。我将其设置为 SUID root:
-rwsr-sr-x 1 root root 37 May 14 23:06 iptables_packet_report.sh
但后来我得到这个输出:
server # sudo -u apache ./iptables_packet_report.sh
iptables v1.4.2: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
显然我的内核很好,而且我以非 root 身份运行它的事实搞砸了,但我不明白为什么。我用 [演示]( http://en.wikipedia.org/wiki/Setuid#Demonstration仔细检查了 SUID并确认它正在工作。
server # sudo -u apache ./printid
Real UID = 81
Effective UID = 0
Real GID = 81
Effective GID = 0
我的最终目标是在作为 apache 运行时获得 iptables -t mangle -xnvL 的输出,这样我就可以使用 cacti 很好地绘制所有图形。
您不能将 SUID root 用于 shell 脚本。只有真正的程序可以是SUID root,shell脚本以“#!”开头 并且解释器必须运行 SUID 并且由于某种我不知道的原因不起作用
看看 sudo 并安装它!编辑 /etc/sudoerrs,添加如下一行:
然后运行
从你的代码。
然后它不应该要求输入密码,而是自动评估该过程。
我很确定如果您手动 su 进入 www-data 并手动运行它,您的错误消息也会发生
正如 Christian 指出的那样,我的问题是我试图在 shell 脚本上进行 SUID。 正如这里所解释的,在 shell 脚本上设置 SUID 是一个非常糟糕的主意:
正因为如此,许多现代 linux 发行版忽略了 SUID shell 脚本,包括我使用的 gentoo。我能够编辑 sudoers 文件并让它工作。
我认为 christian 的解决方案是最好的,但如果你真的想要,你可以使用shc编译脚本,然后在编译的程序上设置 setuid root。