Sprawa TeX'a
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Pią, 18 Cze 1999, 15:02:30 CEST
On Fri, 18 Jun 1999, Wojtek Slusarczyk wrote:
> Hej,
> Właśnie zacząłem przebudowywać TeX'a i tak się zastanawiam
> czy warto ładadować tyle binarek sgidowych i wprowadzać do systemu
> kolejną grupę czy po prostu w filesystemie ustawić:
> 1777 root.root /var/cache/fonts -- IMHO chyba lepiej to drugie, zresztą
> podobnie sprawa wyglądała z /var/mail -- wszystkie MUA i procmail 2711
> root.mail czy 1777 /var/mail ... przy czym tutaj wystrczy odkomentować parę
> linijek w ~/.{bashrc,procmailrc} i juz poczta siedzi w $HOME...
>
> Co reszta na to ?
Jeszcze nie zaglądałem do tetexa ale jak zwykle powinny za jakimiś
zmianami przemawiac jakieś względy.
Można się przez chwilę głośno pozastanawiać i spróbować ocenić co może być
niebezpieczne, a co nie.
Danie katalogu ze stycki bit do zapisu dla wszystkich jest często
wykorzystywane do różnych tmp race. Zastapienie tego sgidem chyba tak
naprawdę nie zmienia tutaj niczego w razie gdyby gdzieś był jakiś BO to
możnaby go chyba wykorzystać w dość podobny sposób choć nieco inaczej.
Jakiś czas temu ciut próbowałem się nad tym zastanawiać i doszedłem do
wniosku, że może rozwiazywałoby zmienienie nieco działania fopen() tak
żeby uniemożliwiała ta funkcja tmp race. Alo takie rzeczy wykraczają
daleko po za aplikacje które miałyby używać nowego trybu otwarcia pliku
więc nie jest to rozwiązanie na teraz.
Wracając do dnia dzisiejszego można próbować się zastanawiać nad tym
dalej. Trzebaby się przyjrzeć temu jak jest załatwiany dostęp do katalogu
z generowanymi fontami do tej pory. Jeżeli obecny model opieraz się o
katalog z 1777 to przypuszczać by można, że rozwiązanie oparte o sgid nie
było dotąd za bardzo tewsttowane i w związku z tym można podejrzewać, że
znalazć by się dało całkiem sporo błędów klasy BO i że w związku z tym sam
tetex był prześwietlany także pod kontem tmp race (przynajmniej
częściowo). W sytuacji odwrotnej oczywiście wniosek przeciwny.
Tak czy inaczej o ile jakieś błedy będą w obu rozwiązaniach (sgidy i 1777
na katalogach) to nie ważna oczywiście tu jest ilość błędów w jednym i
drugim rozwiazaniu gdyż błąd jest błędem w takim samym sensie jak
nieskończoność plus 1 jest równa nieskończoności, co nie daje prawa do
opierania się o "analizę" ilościową.
Zdaje się, że do tej pory raczej raczej było zalecane 1777 na katalogu
czyli opierając się o powyższe możnaby przypuszczać, że potencjalnie jest
ot mniej niebezpieczne lub wręcz sprawdzone (w co mi się za bardzo wierzyć
nie chce) co byłoby to przy założeniu, że błędy BO też tam są tak samo
ryzykowne jak i sgidy co tylko by w tej sytacji sygnalizowało, że tetex
nie nadaje się na serwery dostępowe z niesfornymi użytkownikami.
Czy isnieje jeszcze jakieś inne alternaywne rozwiązanie ?
kloczek
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl