[Debian]:Re: sgid-Bit bei Mailreadern?
Marc Haber <debian-user-de.jfl.de@marc-haber.de> wrote:
> |-rwxr-sr-x 1 root mail 403776 Oct 15 1998 /usr/bin/elm*
> |-rwxr-xr-x 1 root root 412044 Jan 3 18:51 /usr/bin/mutt*
> |-rwxr-sr-x 1 root mail 1191628 Jan 5 22:08 /usr/bin/pine*
> Kann mir zufällig jemand erklären, warum elm und pine sgid mail
> laufen, mutt aber nicht?
Mutt ruft ein Programm namens mutt_dotlock auf, welches SGID mail ist.
Das hat den Vorteil, daß sich mutt selber nicht um seine Permissions
kümmern muß. Auf diese Weise muß der Programmierer nur in dem kleinen
mutt_dotlock für Sicherheit sorgen, während sich Buffer-Overflows etc.
in mutt selber nicht gleich als Sicherheitsloch auswirken.
> Wozu ist sgid mail notwendig?
Ein Mailreader muß ein Mailboxfile locken können, damit der MTA und
der Mailreader nicht gleichzeitig schreiben und so versehentlich neue
Mail löschen. Hierzu braucht der Mailreader Schreibrecht für das
Verzeichnis /var/spool/mail [1], denn er legt dort
/var/spool/mail/<username>.lock an. Dieser Zugriff kann nun auf zwei
Wegen gewährt werden:
a) /var/spool/mail bekommt die Permissions eines tmp-Verzeichnisses,
wo jeder schreiben darf, aber nur der Owner eines Files darf dieses
löschen (chmod 1777). Das hat den Nachteil, daß ein User x den User
y ärgern kann, indem er y.lock anlegt, dann kann User y nämlich
keine Mail mehr lesen. Aus diesem Grunde verlangt die Debian-Policy
die folgende Variante:
b) /var/spool/mail hat die Permissions 2775 und gehört mail.mail.
Die Lockfiles werden nun mittels SGID mail geschrieben (das
Verzeichnis ist ja für die Group mail schreibbar). Daher sind elm
und pind SGID mail, ebenso wie mutt_dotlock SGID mail läuft.
Für die Details siehe die Policy Abschitt "5.6. Mail transport agents".
Tschoeeee
Roland
Footnotes:
[1] in Zukunft wird das gemäß FHS /var/mail sein.
--
* roland@spinnaker.de * http://www.spinnaker.de/ *
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder: 757
Reply to: