[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Можно ли установить SUID для скрипта?


> Nikita V. Youshchenko -> debian-russian@lists.debian.org  @ Tue, 06 Mar
> 2007 16:02:12 +0300:
> 
>  >>  >> ну похоршому (IMHO) вместо SUID лучше использовать sudo:
>  >> 
>  >>  NVY> Кстати, это это легко сделать прозрачно - проверив в начале
>  >>  NVY> скрипта, от какого пользователя он запущен, и сделав exec sudo
>  >>  NVY> ..., если "не от того".
>  >> 
>  >> ... и получив ровно тот же самый security hole, что и в случае с suid.
>  >> Ну да впрочем, ручной запуск sudo тут ничем не лучше.
> 
>  NVY> А вот с этого момента пожалуйста поподробнее.
>  NVY> В чём именно заключается тот самый security hole?
> 
> Подмена файла или вышележащей директории в промежутке между проверкой
> системой необходимых прав и открытием этого файла интерпретатором.

Ы-хм?
А права на эту подмену кто даст?

Если, конечно, файл лежит хрен-знает-где, и владеет им (и вышележащими
каталогами) хрен-знает-кто, то да. Но такие случаи не рассматриваются.
Reply to: