[sisyphus] Re: Q: perl security, CPAN security

[Alexey Tourbin]

On Mon, Jun 27, 2005 at 02:55:44PM +0400, Epiphanov Sergei wrote:
> А что в лес, что по дрова. Искать нужный текст среди кучи warning'ов иногда 
> не легче настройки из-за -T. А уж как apache на тестовой машине обрадуется 
> (проверка дат, окружения, пробовать достучаться до файлов, ... ). :)

Вы понимаете, что это *только для рута* предлагается сделать?
У вас apache исполняет перловый код с правами рута?

> > $ perl test.pl arg
> > /usr/bin/команда 'arg'
> > $ perl test.pl arg\'\;rm\ -rf\ \'/
> > /usr/bin/команда 'arg';rm -rf '/'
> > $
> 
> Но эти же команды Вы набираете сами! Стало быть, можно проверить что 
> набираете. Повторяю: для _личного_ пользования. Я пишу подобное для 
> обработки СВОИХ файлов в каталоге, предварительно просмотрев написание их 
> имён.

Однако же полномочия рута выходят за пределы СВОИХ файлов в каталоге.
В сущности, некоторые программы просто отказываются запускаться от рута.
Кажется, раньше perldoc не запускался от рута.  В elinks'е есть опция
configure
  --enable-no-root        enable prevention of usage by root

Запускать нетривиальную программу от рута -- небезопасно, принудительно
запрещать её запускать -- глупо.  В перле есть разумная альтернатива --
taint mode.

> У меня umask 077 для не-root. Стало быть, после Вашей установки никто не 
> получит доступ к модулям, если специально не дёргаться.

А у кого-то, наоборот, umask 077 для root.  Стало быть, после такой
установки никто не получит доступ к модулям, если специально не
дёргаться.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20050627/143fcb0d/attachment-0003.bin>