Skocz do zawartości
Zaloguj się, aby obserwować  
Krystian

Problem ze skryptem

Polecane posty

Mój skrypt monitoruje ruch IN / OUT ale niestety gdy próbuje uzyskać dostęp do /proc/net/tcp: uzyskuję brak dostępu

 

Może ktoś wie jak odblokować to?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jedna z opcji to taka zeby wlascicielem skryptu byl root i na skrypt dajesz dodatkowe prawa +s, ale zbyt bezpieczne to nie jest

 

edit.

btw. Normalnie dostep do /proc/net/tcp nie jest limitowany.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Skrypt działa prawidłowo na innych serwerach, ale po instalacji na dedyku w OVH mam jakiś problem.

 

Skrypt to: Status2k [ www.status2k.com ]

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

OVH standardowo oddaje klientom maszyny z łatą GRSecurity na kernel.

Ma ona funkcję taką jak "restrict proc to user only", która to powoduje,

że użytkownik nieuprzywilejowany ( inny niż root ) nie posiada dostępu

do informacji w /proc za wyjątkiem tych odnoszących się do jego procesów.

W tym momencie jedynym sensownym rozwiązaniem jest zmienić kernel.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
OVH standardowo oddaje klientom maszyny z łatą GRSecurity na kernel.

Ma ona funkcję taką jak "restrict proc to user only", która to powoduje,

że użytkownik nieuprzywilejowany ( inny niż root ) nie posiada dostępu

do informacji w /proc za wyjątkiem tych odnoszących się do jego procesów.

W tym momencie jedynym sensownym rozwiązaniem jest zmienić kernel.

 

czesto wlaczona w grsec jest specjalna grupa majaca dostep do nieswoich rzeczy

a w tym do /proc/net

 

ls -ldn /proc/net

dr-xr-x--- 4 0 51 0 Jul 2 23:03 /proc/net/

 

tu ta grupa to 51, wiec wystarczy dodac usera do tej grupy by mial dostep do plikow o ktore chodzi

 

--

Lazy

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
tu ta grupa to 51, wiec wystarczy dodac usera do tej grupy by mial dostep do plikow o ktore chodzi

Oczywiście, to się zgadza, GRSecurity umożliwia wyłączenie z restrykcji

dt. /proc, restrykcji dt. sieci ( bind, connect ) i innych... pewnym UID/GID,

pod warunkiem, że taką opcję włączysz na etapie konfiguracji jądra

lub/i/albo/ew. dodasz możliwość manewrowania tymi ustawieniami via sysctl.

Z tego co pamiętam, w kernelach dostarczanych przez OVH nie ma takiej

możliwości, stąd moja wypowiedź była taka, a nie inna.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×