VZ>>>> 1. Он хочет создавать файл из своего скрипта. SL>>> Дык, создал /mnt/my-super-place, подмонтировал и дал SL>>> удалённый доступ к нему. AV>> Да чем tmp-то плох? Создаем там каталог с правами 0700 и ага. SL> А вдруг он tmpfs? Сегодня одни права, завтра другие.
/tmp с +s, на всякий случай chmod при каждой проверке.
VZ>>>> 2. У нормальных людей /tmp и /var/tmp смонтированы как VZ>>>> минимум с noexec. SL>>> :( Всё печально :( Это ж кладезь временных файлов, им что SL>>> запрещай исполнение, что разрешай, всё едино. AV>> Эээээ... ЩИТО?! AV>> Вот, допустим, нашел я у кого-то дырку, позволяющую получить на AV>> удаленной системе временный файл нужного мне содержания. Если AV>> /tmp смонтировано с -o noexec - хрен мне это что даст, а если AV>> есть возможность исполнять файлы из каталога, доступного на AV>> чтение - "wow, exxxploitable". SL> Какой-то прошлый век, или я отстал от жизни и сейчас noexec блокирует SL> perl, java и прочая, прочая?
Все #! скрипты таки блокирует (в том числе perl, хотя всегда можно выполнить `/usr/bin/perl /tmp/evilfile`). Насчет java ничего сказать не могу, но держу оную исключительно внутри vz-контейнеров.
SL>>> Или ты собираешься исследовать на предмет безопасной работы SL>>> с временными файлами все свои программы, начиная с "crontab SL>>> -e", vipw, продолжая всяким средствами разработки, AV>> Ты удивишься, но ${origin} состоит исключительно из софта, AV>> прошедшего такую проверку. SL> И таки что, теперь к /tmp можно спокойно давать доступ по NFS? SL> Hе верю.
По NFS - нефиг. А локальным пользователям и +s хватит.
SL> Что до проверки, ну не знаю, не знаю, например: SL> [leo@vmrh65leom tmp]$ sudo -e /etc/shadow SL> [2]+ Stopped sudo -e /etc/shadow SL> [leo@vmrh65leom tmp]$ ls -l /etc/shadow /var/tmp/shadow.XXAtAUwx SL> ----------. 1 root root 1138 Июн 4 01:19 /etc/shadow SL> -rw-------. 1 leo leo 1138 Июн 4 01:19 /var/tmp/shadow.XXAtAUwx
Я писал про систему, где sudo ставится дополнительно и доступен на выполнение только группе sudoers, а shadow вообще отсутствует (точнее он у каждого усера свой и хранится в недрах /etc/tcb).
AV>> З.Ы. (Замечу Ышо): есть большая вероятность того, что /400 AV>> скоро покинет сеть - рекомендую начать искать нового аплинка. AV>> И таки да, мое предложение в силе. SL> От судьбы не уйти.
Угу.
AV>> З.З.Ы. (Затем Замечу Ышо): через 4 месяца после моей AV>> первоапрельской шутки про килобитные ключи в ГОСТ-28147 таки AV>> нашелся первый человек, заподозривший, что это действительно AV>> была шутка :-) SL> Hаверное торпеда мимо прошла и в меня не попала.