Почему файл не выполняется под пользователем user1?

Question

[Вадим]

Есть скрипт со след permissions

rwsrwsrwx 1 user1 user1 3946 Sep  2 01:37 /home/user1/scripts/./generate_confi.sh*

вроде для него выполнил команду установки Setuid

chmod +x generate_confi.sh
chmod u+s generate_confi.sh

тем не менее когда запускаю скрипт из под юзера user2, он запускается из контекста этого же user2 - а вроде должен как user1? Проверял командой whoami внутри скрипта

Comments

[maxsmeller]

А почему должен под user1? Потому, что он владелец?

[Sergey Volkov]

Проверьте в /proc/mounts с какими опциями смонтирована раздел, где находиться файл generate_confi.sh. По умолчанию монтируется с nosuid, кроме корневого раздела.

[Вадим]

maxsmeller, да и флаг установлен

Answer 1

[jcmvbkbc]

Биты setuid/setgid не работают со скриптами. Они работают только с двоичными исполняемыми файлами. Скрипт -- это текстовый файл интерпретируемый другой программой. Чтобы выполнить скрипт под другим пользователем воспользуйтесь командой sudo.

Answer 2

[Saboteur]

suid работает к тем командам, которые собственно создают процесс.
В случае скриптов, процесс создает не /path/to/script.sh, а /usr/bin/bash, поэтому и suid следует ставить на /usr/bin/bash

И так со ВСЕМИ скриптами.
Используйте sudo, su или runuser

Comments

[Вадим]

да так и сделал вверху

Answer 3

[Вадим]

решил проблему командой visudo и добавлением строки - ограничиваю одной командой, скриптом

user2 ALL=(user1) NOPASSWD: /path/to/script.sh

запускаю

sudo -u user1 /path/to/script.sh

Answer 4

[SunTechnik]

Для bash скриптов suid бит не работает.

Можно попытаться в заголовке файла изменить:
#! /bin/bash
На
#! /bin/bash -p
Или на
#! /bin/sh -p

Но у sh есть некоторые отличия в синтаксисе.

Для perl скриптов suid работает.

Поиск в интернете по ключевым словам: bash suid script

Comments

[Вадим]

интересно насчет питон скриптов

[jcmvbkbc]

Для perl скриптов suid работает.

Работал, до версии perl 5.12.0, в которой suidperl была удалена.

[Saboteur]

для перл тоже не может работать, разве что suid ставится на сам perl исполняемый файл, но это прям большая проблема, ибо можно тогда через перл хакнуть и запустить что-нибудь от рута, поэтому suidperl и убрали.