[sisyphus] Re: Q: perl security, CPAN security
Alexey Tourbin
=?iso-8859-1?q?at_=CE=C1_altlinux=2Eru?=
Пн Июн 27 11:48:52 MSD 2005
On Mon, Jun 27, 2005 at 11:30:16AM +0400, Epiphanov Sergei wrote:
> > 1) perl, если запущен от root'а, должен работать в режиме taint mode.
> Кто кому должен? Я понимаю, что лучше всего, если этот режим включён. Но
> когда необходимо, чтобы отработал свой собственный скрипт, недоступный
> другим, мне лень тратить времени и сил в два раза больше. Сам написал - сам
> виноват в последствиях. Нет уж, пусть будет как есть.
Вы запускаете этот скрипт от рута? :) Тогда вам сюда:
http://www.linux.org.ru/view-message.jsp?msgid=392747&page=0
Сейчас правило для имплицитного включения tain mode выглядит так:
perl.c: PL_tainting |= (PL_uid && (PL_euid != PL_uid || PL_egid != PL_gid));
Предлагается добавить в условие PL_euid==0 || ...
> > 2) Нужно запретить запускать CPAN от root'а. Возможная альтернатива --
> > группа cpan и права 03775 root:cpan на /usr/local/lib/perl5.
>
> А Вы уже проверяли, что это заработает нормально? Я уже на подобном налетел:
> посоветовал сначала, а когда стал проверять, то понял, что так нельзя. :(
Нет ещё. Но принципиальных ограничений не вижу.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20050627/cb30a169/attachment-0003.bin>
Подробная информация о списке рассылки Sisyphus