Re: [sympa-fr] question UID/GID

[Patrick Proniewski <adresse@cachée>]

Bonjour,

On 2 mars 2015, at 14:54, Philippe Aepli <adresse@cachée> wrote:

> Je pense que votre problème viens du fait que vous avez utilisé l'option -g 
> (g minuscule).
>  
> Cette option modifie le groupe principal d'un utilisateur et change le 
> groupe pour tous les fichiers se trouvant dans le "home" répertoire de 
> l'utilisateur.

Pas chez moi (RHEL 6). Les fichiers présents dans le home ne changent pas de 
groupe :

# grep sympa /etc/passwd
sympa:x:59689:59689:logiciel Sympa:/home/sympa:/bin/bash
# id sympa
uid=59689(sympa) gid=59689(sympa) groups=59689(sympa)
# ls -l /home/sympa/
...
drwxr-xr-x. 423 sympa sympa 36864 Mar  2 12:30 bounce
...

# usermod -g mail sympa
# id sympa
uid=59689(sympa) gid=12(mail) groups=12(mail),59689(sympa)
# ls -l /home/sympa/
...
drwxr-xr-x. 423 sympa sympa 36864 Mar  2 12:30 bounce
...



> Si vous faites cette intervention sans avoir préalablement arrêter les 
> processus de Sympa, et que vos fichier se trouvent dans le "home" 
> répertoire de votre utilisateur, vous risquez d'avoir quelques soucis ...


Je n'ai pas l'impression que le problème se situe à cet endroit (droits de 
fichiers), par ailleurs, les droits restent bons pour le user, cela ne 
devrait pas causer de blocage. Le seul blocage potentiel à ce niveau serait 
du à un process éxécuté avec une autre uid que sympa, mais avec le gid sympa 
et ayant besoin d'écrire dans des fichiers/répertoires appartenant à 
sympa:mail. Je n'ai pas constaté ce cas de figure.
Pour moi le souci vient plutôt de l'exécution d'une commande (sympa[15488]: 
Failed to change process userID and groupID)


> Par contre, pour ajouter un groupe à votre utilisateur, il faut utiliser 
> l'option -G (g majuscule). Cela ne modifier pas le propriétaire des 
> fichiers.

Cela ne peut pas fonctionner, le process n'est pas lancé avec un groupe 
secondaire, il est lancé avec le gid du groupe principal, donc c'est bien 
celui-ci qu'il faut modifier (j'avais essayé quand même avant de m'attaquer 
au changement de gid).


> Quoi qu'il en soit, avant de modifier les groupes de votre utilisateur, il 
> faudra arrêter Sympa, puis le redémarrer après la modification.

C'est une sage précaution, mais tout ce que je vais probablement obtenir ce 
sont des symptômes identiques (sympa[15488]: Failed to change process userID 
and groupID). Il y a quelque chose qui m'échappe : est-ce que c'est le 
wrapper apache qui tente de lancer un process avec un autre gid et qui 
trébuche ? est-ce que c'est un tout autre process ?


> Si votre serveur apache s'exécute sous l'utilisateur sympa, il faudra aussi 
> modifié l'environnement d'exécution. Pour une Debian Wheezy, le fichier se 
> nomme: /etc/apache2/envvars.


Notre apache tourne avec son user par défaut, par contre le wrapper fcgi est 
en suid+sgid : 

-rwsr-sr-x. 1 sympa sympa   8768 Jun 25  2013 wwsympa-wrapper.fcgi

Alors c'est peut être un problème si il tente d'exécuter un process sous 
sympa:mail alors qu'il est lancé lui-même en sympa:sympa.
Mais pourquoi essayerait-il de lancer le process sympa ? (celui qui génère 
l'erreur dans les log) Et pourquoi tenterait-il de le faire en sympa:mail ?

Je vais creuser ici aussi, au moins tenter de faire les choses bien carrées, 
à un moment de faible affluence : 

- tout couper
- usermod -g mail sympa
- chgrp mail wwsympa-wrapper.fcgi
- chmod g+s wwsympa-wrapper.fcgi
- tout relancer

Mais je reste dubitatif, j'ai vraiment l'impression que quelque chose m'a 
échappé, et ce sera pas évident de mettre le doigt dessus tant que je ne 
pourrai pas trouver qui a lancé les process sympa qui ont généré les erreurs 
dans les logs.

Patrick PRONIEWSKI
-- 
Responsable pôle Opérations - DSI - Université Lumière Lyon 2
Responsable Sécurité des Systèmes d'Information