Właściciele plików i katalogów
Jacek Konieczny
jajcus w pld.org.pl
Sob, 9 Gru 2000, 19:21:29 CET
Cześć,
Właśnie hurtem poprawiłem wiele speców w CVS. Chodziło o to, że wiele
plików miało niepotrzebnie ustawionego właściciela innego niż root, a:
1) użytkownicy specjalnie (news,http itp.) nie powinni być właścicielami
swoich katalogów domowych. Zwykle nie jest to potrzebne, na pewno taki
user nie powinien zmieniać praw dostępu do tego katalogu, wystarczy że
ma odpowiednie prawa poprzez grupę. Poza tym qmail uważa użytkowników
którzy są właścicielami swoich katalogów za normalne konta (i próbuje do
nich dostarczać pocztę)
2) w wielu miejscach pliki konfiguracyjne miały jako właściciela usera
za którego działa konfigurowana usługa (poza tym grupę też). Przecież
usługa sama raczej nie będzie sie konfigurować. A nie po to różne demony
chodzą pod różnymi uidami, żeby w razie włamania dowolnie zmieniały
sobie konifugracje (czasem w tej konfiguracji jest wpisane z jakim uidem
się startują!)
3) Niektóre pakiety (np. petidomo) ustawiały właścicieli wszystkich
swoich plików, łącznie z binarkami (nie suidowymi).
4) W jakimś pakiecie widziałem katalog do którego mógł pisać nobody.
Przecież z definicji nobody nie powinien mieć żadnych praw!
Więc popoprawiałem co mogłem. Robiłem to pół-automatycznie więc mogłem
coś popsuć (jednak starałem się uważać).
A oto dodatkowe uwagi, spisane podczas tej roboty:
Nie ruszałem binarek suid (tu właściciel musi być ten sam) oraz plików
%ghost (skoro jakiś demon go tworzy, to on będzie i tak właścicielem).
No i tam, gdzie user na pewno powinien pisać (np. /home/ftp/upload,
chociaż teraz myślę, że właścicielem powinien być jednak root --- po co
ftp ma zmieniać prawa do tego katalogu?)
nie ruszyłem pakietów:
cyrus-imapd - nie rozumiem zupełnie
gdm - trochę za dużo czytelne dla xdm?
pld-builder - też nie wiem jak to ma działać, ale też nie sądze, żeby
builder musiał być właścicielem tylu plików
solid-pop3d - nie ma grupy spop3d, więc user musi być właścicielem, albo
będą czytać wszyscy :-(
uucp - kosmos z uprawnieniami/suidami itp. Wolałem nie ruszać
w tftp /var/lib/tftp miało właściciela i grupę nobody. Grupę zostawiłem
(bez praw zapisu). Po co tu były prawa zapisu dla nobody? Jeśli są
rzeczywiście potrzebne, to może lepiej zrobić nowego usera.
Najwięcej nazmieniałem chyba w INNie, ale dzięki dobrym komentarzom i
podziałowi speca chyba nic nie zepsułem. Zresztą zaraz go będę
instalował, jeśli się uda to zwiększe Release w CVS.
Jeśli nikt nie zauważy jakiś poważnych błędów, to za kilka dni zwiększe
release we wszystkich zmienionych pakietach i będą mogły pójść na
buildery.
Pozdrowienia,
Jacek
Więcej informacji o liście dyskusyjnej pld-devel-pl