Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Faille de sécurité?] Possibilité de supprimer des fichiers de root

Crone123

Bonjour,
J'ai un truc un peu bizzare actuellement.
Je crée un fichier, je lui met:
chown root:root "Fichier"
chmod 700 "Fichier"
Je ne peux pas l'ouvrir, mais par contre, je peux le supprimer !
Est-ce moi, un bug, ou une grosse faille de sécurité?

J'ai vu ça par hasard en testant la suppression des maps pour un de mes jeux (que je développe), ou il ne peut pas ouvrir la map, par contre, il arrive a la supprimer avec la fonction C remove("Fichier");
Merci 🙂

phlux

Salut,
En effet ça craint un peu je viens de tester. Mais sous Ubuntu le compte courant est aussi admin.
Essaye avec un compte normal.

Vlam

Salut, non pas de faille.

Les droits création et suppression sont attribués au répertoire courant, pas au fichier.

Un exemple :

mkdir tmp
touch tmp/toto.txt
sudo chown -R root tmp
sudo chmod 755 tmp

si chmod 700, tu ne pourras même pas faire ls de tmp sans le sudo.
Finalement si tu fais

rm tmp/toto.txt

Tu verras que ton fichier est bien protégé !

C'est simple, un répertoire étant considéré comme un fichier dans la plupart des systèmes de fichiers UNIX, tu peux arriver à des situations comme la tienne, dans laquelle on ne peut pas éditer un fichier (as-tu essayé un cat >> "ton_fichier"?), mais on peut le supprimer.

Crone123

Ah oui, bien vu, c'est attribué au dossier ! 🙂
Bon, comme ça, ça me rassure, parce qu'une faille sur ce point ça rends Linux hyper fragile, donc heureusement que ce n'est pas le cas 🙂