Re: Можно ли установить SUID для скрипта?
> Nikita V. Youshchenko -> debian-russian@lists.debian.org @ Tue, 06 Mar
> 2007 16:02:12 +0300:
>
> >> >> ну похоршому (IMHO) вместо SUID лучше использовать sudo:
> >>
> >> NVY> Кстати, это это легко сделать прозрачно - проверив в начале
> >> NVY> скрипта, от какого пользователя он запущен, и сделав exec sudo
> >> NVY> ..., если "не от того".
> >>
> >> ... и получив ровно тот же самый security hole, что и в случае с suid.
> >> Ну да впрочем, ручной запуск sudo тут ничем не лучше.
>
> NVY> А вот с этого момента пожалуйста поподробнее.
> NVY> В чём именно заключается тот самый security hole?
>
> Подмена файла или вышележащей директории в промежутке между проверкой
> системой необходимых прав и открытием этого файла интерпретатором.
Ы-хм?
А права на эту подмену кто даст?
Если, конечно, файл лежит хрен-знает-где, и владеет им (и вышележащими
каталогами) хрен-знает-кто, то да. Но такие случаи не рассматриваются.
Reply to: