[sisyphus] Re: Q: perl security, CPAN security

Epiphanov Sergei =?iso-8859-1?q?serpiph_=CE=C1_nikiet=2Eru?=
Пн Июн 27 16:11:00 MSD 2005


В сообщении от 27 Июнь 2005 15:29 Alexey Tourbin написал:
> On Mon, Jun 27, 2005 at 02:55:44PM +0400, Epiphanov Sergei wrote:
> Вы понимаете, что это *только для рута* предлагается сделать?
> У вас apache исполняет перловый код с правами рута?
Что ж, здесь погорячился... Хотя иногда запускаю. Для вывода статичной 
тестовой информации.
> > > $ perl test.pl arg
> > > /usr/bin/команда 'arg'
> > > $ perl test.pl arg\'\;rm\ -rf\ \'/
> > > /usr/bin/команда 'arg';rm -rf '/'
> > > $
> >
> > Но эти же команды Вы набираете сами! Стало быть, можно проверить что
> > набираете. Повторяю: для _личного_ пользования. Я пишу подобное для
> > обработки СВОИХ файлов в каталоге, предварительно просмотрев написание
> > их имён.
>
> Однако же полномочия рута выходят за пределы СВОИХ файлов в каталоге.
Знаю, что выходят. Но для этого и существует голова, чтобы ей думать, а не 
только есть. :)
> В сущности, некоторые программы просто отказываются запускаться от рута.
> Кажется, раньше perldoc не запускался от рута.  В elinks'е есть опция
> configure
>   --enable-no-root        enable prevention of usage by root
>
> Запускать нетривиальную программу от рута -- небезопасно, принудительно
> запрещать её запускать -- глупо.  В перле есть разумная альтернатива --
> taint mode.
Ага, гайки закрутили с локалью рута, пришлось их смазывать из-за нового mc. 
Теперь необходимо будет проверять все свои программы на работу в режиме 
taint... Правда, их очень мало.
> > У меня umask 077 для не-root. Стало быть, после Вашей установки никто не
> > получит доступ к модулям, если специально не дёргаться


Подробная информация о списке рассылки Sisyphus