[devel] Re: Procmail and command execution

[Vitaly Ostanin]

On Mon, 10 Nov 2003 18:13:22 +0300
"Dmitry V. Levin" <ldv на altlinux.org> wrote:

> On Mon, Nov 10, 2003 at 06:04:53PM +0300, Vitaly Ostanin wrote:
> > On Mon, 10 Nov 2003 17:24:52 +0300, Dmitry V. Levin wrote:
> > > On Mon, Nov 10, 2003 at 04:17:18PM +0300, Vitaly Ostanin
> > > wrote:
> > > > Скажите, pls, есть ли в сборках procmail от ALT
> > > > функциональность для запрещения выполнения команд
> > > > procmail'ом?
> > > > 
> > > > Или даже для частичного запрещения? Наподобие
> > > > http://www.ee.ucr.edu/~isaldana/procmail/secure.html
> > > 
> > > Нет.
> > > Такие вещи, как правило, неэффективны.
> > > 
> > > > Например, часть пользователей почтового сервера может
> > > > иметь право на запись в ~/.procmailrc, и хотелось бы
> > > > предотвратить использование procmail в качестве
> > > > удалённого shell'а :(
> > > 
> > > Если у пользователя не должно быть полноценного shell'а, то
> > > у него автоматически не должно быть $HOME в виде, доступном
> > > для записи.
> > 
> > Можно несколько примеров, почему?
> 
> Практически невозможно предусмотреть все файлы и каталоги,
> которые придётся защищать от записи.

Допустим, у пользователя non writable $HOME. Допустим, что ему
доступен на запись каталог внутри $HOME. В этом каталоге
пользователь должен иметь право редактировать правила сортировки
почты в procmailrc.

То есть сможет написать в этом procmailrc команды на выполнение
по условным строкам :(

Может, всё-таки собрать procmail с патчем, контролирующим такую
ситуацию (см. выше) ?

<skipped/>

-- 
Regards, Vyt
mailto:  vyt на vzljot.ru
JID:     vyt на vzljot.ru
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20031113/3587b86e/attachment-0001.bin>