[sisyphus] Re: Q: perl security, CPAN security

[Alexey Tourbin]

On Mon, Jun 27, 2005 at 11:30:16AM +0400, Epiphanov Sergei wrote:
> > 1) perl, если запущен от root'а, должен работать в режиме taint mode.
> Кто кому должен? Я понимаю, что лучше всего, если этот режим включён. Но 
> когда необходимо, чтобы отработал свой собственный скрипт, недоступный 
> другим, мне лень тратить времени и сил в два раза больше. Сам написал - сам 
> виноват в последствиях. Нет уж, пусть будет как есть.

Вы запускаете этот скрипт от рута? :)  Тогда вам сюда:
http://www.linux.org.ru/view-message.jsp?msgid=392747&page=0

Сейчас правило для имплицитного включения tain mode выглядит так:
perl.c:    PL_tainting |= (PL_uid && (PL_euid != PL_uid || PL_egid != PL_gid));

Предлагается добавить в условие PL_euid==0 || ...

> > 2) Нужно запретить запускать CPAN от root'а.  Возможная альтернатива --
> > группа cpan и права 03775 root:cpan на /usr/local/lib/perl5.
> 
> А Вы уже проверяли, что это заработает нормально? Я уже на подобном налетел: 
> посоветовал сначала, а когда стал проверять, то понял, что так нельзя. :(

Нет ещё.  Но принципиальных ограничений не вижу.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20050627/cb30a169/attachment-0003.bin>