SOURCES: setup-special_users.patch (NEW) - don't assume special

[Jakub Bogusz]

On Wed, Jun 16, 2004 at 10:01:34PM +0200, Paweł Gołaszewski wrote:
> On Wed, 16 Jun 2004, Jakub Bogusz wrote:
> > > > > > ++if ( `/bin/id -u` >= 500 && ! -d ~/tmp ) then
> > > > > Dobra, ale jednak dla większości specjalnych użytkowników jest 
> > > > > lepiej ustawić ~/tmp zamiast się narażać na różne cuda w /tmp ...
> > > > Ale moze niech admin o tym swiadomie zadecyduje ?
> > > czyli domyślnie narażamy się na ataki przez /tmp ?
> > > 
> > > Raczej nie bardzo. Należałoby zapewnić użytkownikom, którzy mogą - 
> > > posiadanie takiego katalogu w ~.
> > Można tylko tym, dla których $HOME to /home/services/* (coś jeszcze?)

Jeszcze root. Warunek go nie łapie, a dla niego zagrożenie jest
największe.

> /var/lib ?
> Czemu tam nie mogą się pojawić zmienne dane tymczasowe?

Jeśli są tam przewidziane, to mogą (ale niekoniecznie w katalogach
~/tmp). Jeśli nie - to czemu mają się pojawiać śmieci wśród np. baz
danych? (a jak zechcę utworzyć bazę czy klaster "tmp"?)

> > Reszta ma $HOME w katalogach, w których nie ma prawa pojawić się 
> > podkatalog tmp.
> 
> Jakiś przykład takiego katalogu?
> Pomijam te, które mają jakiś /usr/costam , bo to IMO błąd jest wręcz.

/bin, /sbin, /var/account, /var/spool/lpd, /var/mail, /var/spool/uucp,
/usr/games, /etc/X11/fs, /var/spool/clientmqueue, /usr/share/empty,
/var/lib/openldap-data, /var/log/snort

/ (tu na jedno wychodzi, tylko drugi '/' niepotrzebny)
/dev/null (to i tak jest do zmiany, jeśli jeszcze gdzieś zostało)

Przy okazji: brakuje triggerów.
Np. mój mysql ma cały czas $HOME = /var/lib/mysql.


-- 
Jakub Bogusz    http://cyber.cs.net.pl/~qboosh/