Ksh static - ale jak ? ;)

Tomasz Kłoczko kloczek w rudy.mif.pg.gda.pl
Wto, 1 Cze 1999, 09:25:35 CEST 

On Mon, 31 May 1999, Martin Dalecki wrote:
[..]
> A w dokumentacji do Solarisa przestrzega się explicite przed stosowaniem
> bash'a jako otoczki dla root-a. I wiesz nie jeden admin potwierdza, że 
> nie tak całkiem przez przypadek: Obejżyj sobie jakie to otoczenie
> parametryczne
> definiuje sobie bash przeczytaj co to tam te parametry nie mają robić 
> i pomedytuj nad tym parę minut. Biblioteka readline, jest też
> że tak powiem bardzo bardzo "inspirująca". Podobnie ma się
> z gettext-em. (W gettext też jest bufferoverflow na parametrze LOCALE.)

Żeby nie było wątpliwości .. na solku root po instalacji dostaje ksh.
Dorzucę jeszcze ldd do ksh:
# ldd /bin/ksh
        libsocket.so.1 =>        /usr/lib/libsocket.so.1
        libnsl.so.1 =>   /usr/lib/libnsl.so.1
        libc.so.1 =>     /usr/lib/libc.so.1
        libdl.so.1 =>    /usr/lib/libdl.so.1
        libmp.so.2 =>    /usr/lib/libmp.so.2

Co do gettext tutaj nie ma kłopotu gdyż w tej chwili libintl.a jest
prawie wogóle nie używany (jeżeli już są jakieś błędy to tylko w tych 
kilku programach które przychodzą z gettext) przez nas .. używany
zintegrowanego z libc libintl. Swoją drogą ciekawe czy w tym kodzie też są
podobne dziury o jakich wspominasz (?).

> Naprawdę nieco mnie dziwi, że właśnie taki zdeklarowany
> "fanatyk" bezpieczeństwa  jak Ty jest takim zwollennikiem bash-a!

Zapewne chodzi o tą drobną wstawkę porzucającą euid=0. Swoją drogą w
podobną wstawkę możnaby wyposarzyć pozostałe shelle (dwie linijki kodu)
gdyż przydać się to może w przypadku pozostaiwinia shelli z suid root.

> Co się tyczy ilości użytkowników to nie wiem ilu z nich wybór
> dokonuje świadomie... A po drugie to wbrew pozorom ludzie
> z XxxxBSD nie tak całkiem przez przypadek wypinają się czasami na 
> Linux-a jako system dla amatorów :-). A propos w FreeBSD za root-a
> robi zsh.

U nas Marcin jeszcze nie ma tak długich tradycji U*nixowych i takich
zachowań ciężej się dopatrywać :)

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*

Więcej informacji o liście dyskusyjnej pld-devel-pl