<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
Thomas Sluyter wrote:
<blockquote cite="midB25B926E-F8B0-41C8-B1FE-5212D8837A79@kilala.nl"
 type="cite">
  <pre wrap="">On 31 Aug, 2006, at 16:34, Hari Sekhon wrote:

  </pre>
  <blockquote type="cite">
    <blockquote type="cite">
      <pre wrap="">I have a difficult customer who won't sign off changes based on  
the security risk using suid plugins, for example, check_logfiles.  
What does one do about this situation?

      </pre>
    </blockquote>
    <pre wrap="">use sudo, that's what it's for.

    </pre>
  </blockquote>
  <pre wrap=""><!---->
And then -don't- use sudo to run the script, but use sudo to run the  
actual command that's needed to read the logfile. Possibly even  
defining the actual arguments that will be given to the command. It's  
a bitch when it comes to upkeep, but it is the safest way of going  
about this...

Using a suid script is asking for trouble... Anyone could change the  
script to read "rm -rf /*"

Cheers!


Thomas


  </pre>
</blockquote>
<br>
yeah well that was implied in the go learn how to use sudo properly
hint...<br>
<br>
sorry I should have been more explicit in that. Only sudo the specific
command (ie the plugin itself) and only for the one user. Done.<br>
<br>
<br>
<br>
Hari Sekhon<br>
<br>
<br>
</body>
</html>