[sisyphus] Re: Q: perl security, CPAN security

Пн Июн 27 14:55:44 MSD 2005

В сообщении от 27 Июнь 2005 13:53 Alexey Tourbin написал:

> Можно запустить с опцией -t (enable tainting warnings), она "перебивает"
> опцию -T (enable tainting checks).  Об этом лучше никому не говорить. 

А что в лес, что по дрова. Искать нужный текст среди кучи warning'ов иногда 
не легче настройки из-за -T. А уж как apache на тестовой машине обрадуется 
(проверка дат, окружения, пробовать достучаться до файлов, ... ). :)

> $ perl test.pl arg
> /usr/bin/команда 'arg'
> $ perl test.pl arg\'\;rm\ -rf\ \'/
> /usr/bin/команда 'arg';rm -rf '/'
> $

Но эти же команды Вы набираете сами! Стало быть, можно проверить что 
набираете. Повторяю: для _личного_ пользования. Я пишу подобное для 
обработки СВОИХ файлов в каталоге, предварительно просмотрев написание их 
имён.

> > > 2) Нужно запретить запускать CPAN от root'а.  Возможная альтернатива --
> > > группа cpan и права 03775 root:cpan на /usr/local/lib/perl5.
> > 
> > А Вы уже проверяли, что это заработает нормально? Я уже на подобном 
налетел: 
> > посоветовал сначала, а когда стал проверять, то понял, что так нельзя. :(
> 
> Нет ещё.  Но принципиальных ограничений не вижу.

У меня umask 077 для не-root. Стало быть, после Вашей установки никто не 
получит доступ к модулям, если специально не дёргаться.

-- 
С уважением, Епифанов Сергей