On Wed, Jun 16, 2004 at 10:01:34PM +0200, Paweł Gołaszewski wrote: > On Wed, 16 Jun 2004, Jakub Bogusz wrote: > > > > > > ++if ( `/bin/id -u` >= 500 && ! -d ~/tmp ) then > > > > > Dobra, ale jednak dla większości specjalnych użytkowników jest > > > > > lepiej ustawić ~/tmp zamiast się narażać na różne cuda w /tmp ... > > > > Ale moze niech admin o tym swiadomie zadecyduje ? > > > czyli domyślnie narażamy się na ataki przez /tmp ? > > > > > > Raczej nie bardzo. Należałoby zapewnić użytkownikom, którzy mogą - > > > posiadanie takiego katalogu w ~. > > Można tylko tym, dla których $HOME to /home/services/* (coś jeszcze?)
Jeszcze root. Warunek go nie łapie, a dla niego zagrożenie jest największe. > /var/lib ? > Czemu tam nie mogą się pojawić zmienne dane tymczasowe? Jeśli są tam przewidziane, to mogą (ale niekoniecznie w katalogach ~/tmp). Jeśli nie - to czemu mają się pojawiać śmieci wśród np. baz danych? (a jak zechcę utworzyć bazę czy klaster "tmp"?) > > Reszta ma $HOME w katalogach, w których nie ma prawa pojawić się > > podkatalog tmp. > > Jakiś przykład takiego katalogu? > Pomijam te, które mają jakiś /usr/costam , bo to IMO błąd jest wręcz. /bin, /sbin, /var/account, /var/spool/lpd, /var/mail, /var/spool/uucp, /usr/games, /etc/X11/fs, /var/spool/clientmqueue, /usr/share/empty, /var/lib/openldap-data, /var/log/snort / (tu na jedno wychodzi, tylko drugi '/' niepotrzebny) /dev/null (to i tak jest do zmiany, jeśli jeszcze gdzieś zostało) Przy okazji: brakuje triggerów. Np. mój mysql ma cały czas $HOME = /var/lib/mysql. -- Jakub Bogusz http://cyber.cs.net.pl/~qboosh/ _______________________________________________________ złota zasada - kto się nie zna, niech się nie wypowiada
