Сегодня я написал скрипт bash, который может разрушить некоторые из моих пользовательских настроек и / или разрешений. Теперь я знаю, что было довольно глупо тестировать скрипт на моей live-системе;).
Что не работает? Каждый процесс, который работает от имени другого пользователя, кроме root (postfix, ftp, dovecot и т.д.).
РЕДАКТИРОВАТЬ: структура папок различна в случае владельцев и разрешений. Так что не похоже, что я что-то изменил на уровне корневого каталога. Я также не могу войти или запустить что-то как новый пользователь (см. Тест ниже).
В журнале proftpd я не могу Unable to open password file /etc/passwd for reading: Permission denied
су тест
Cannot execute /bin/bash: Permission denied
ls -l
drwxrwxr-x 23 root root 4096 Aug 15 15:26 /
drwxr-xr-x 90 root root 4096 Aug 15 16:38 etc
-rw-rw-r-- 1 root root 1971 Aug 15 16:25 /etc/passwd
-rw-r----- 1 root shadow 2151 Aug 15 16:25 /etc/shadow
drwxrwxr-x 2 root root 4096 Aug 15 16:38 bin
-rwxr-xr-x 1 root root 941252 Sep 25 2014 /bin/bash
Сценарий
#!/bin/bash
path="/var/www"
if [ $(id -u) -eq 0 ]; then
echo "Enter directory name"
read dirname
pathdir="$path/$dirname"
echo $pathdir
echo "File doesn't exist. Creating now"
mkdir $pathdir
mkdir $pathdir/conf
mkdir $pathdir/docs
mkdir $pathdir/logs
mkdir $pathdir/tmp
mkdir $pathdir/php-fcgi
echo "Folder structure created"
read -p "Enter username : " username
read -s -p "Enter password : " password
egrep "^$username" /etc/passwd >/dev/null
if [ $? -eq 0 ]; then
echo "$username exists!"
exit 1
else
pass=$(perl -e 'print crypt($ARGV[0], "password")' $password)
useradd -d $pathdir -p $pass $username
[ $? -eq 0 ] && echo "User has been added to system!" || echo "Failed to add a user!"
fi
adduser www-data $username
chown root:$user $pathdir
chmod 750 $pathdir
chown $username:$username $pathdir/*
chmod 750 $pathdir/*
confdir=$pathdir/conf
chmod 550 $confdir
cp ./php.ini $confdir
sed -i -e 's#;open_basedir =#open_basedir = '$pathdir'/docs/:'$pathdir'/tmp/#g' $confdir/php.ini
sed -i -e 's#;upload_tmp_dir =#upload_tmp_dir = '$pathdir'/tmp/#g' $confdir/php.ini
sed -i -e 's#;session.save_path =#session.save_path = '$pathdir'/tmp/#g' $confdir/php.ini
chown $username:$username $confdir/php.ini
chmod 440 $confdir/php.ini
generate php-fcgi-starter
cat > $pathdir/php-fcgi/php-fcgi-starter << EOF
#!/bin/sh
PHPRC="${confdir}/"
export PHPRC
export TMPDIR=${pathdir}/tmp
exec /usr/bin/php5-cgi
EOF
chmod 750 $pathdir/php-fcgi/php-fcgi-starter
chattr +i -V $pathdir/php-fcgi/php-fcgi-starter
generate apache vhost
echo "Domain:"
read domain
cat > /etc/apache2/sites-available/$domain << EOF
<VirtualHost *:80>
ServerAdmin webmaster@mydomain.org
ServerName ${domain}
ServerAlias www.${domain}
SuexecUserGroup ${username} ${username}
AddHandler fcgid-script .php
DocumentRoot "${pathdir}/docs"
DirectoryIndex index.htm index.html index.php
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory "${pathdir}/docs">
Options Indexes MultiViews FollowSymLinks +ExecCGI
FCGIWrapper ${pathdir}/php-fcgi/php-fcgi-starter .php
Order allow,deny
allow from all
</Directory>
LogLevel warn
CustomLog ${pathdir}/logs/access.log combined
ServerSignature On
</VirtualHost>
EOF
a2ensite $domain
echo "Ready"
else
echo "run as root"
exit 2
fi