Ksh static - ale jak ? ;)
Martin Dalecki
dalecki w cs.net.pl
Pon, 31 Maj 1999, 22:21:09 CEST
Wojtek Slusarczyk wrote:
>
> On Mon, 31 May 1999, Martin Dalecki wrote:
>
> > większością.
> > Czyli Twój poprzedni argument, że jak kto chce sobie skompilować /bin/sh
> > dynamicznie to niech sobie zrobi to sam można dokładnie odwrócić :-).
>
> zaczelo sie od tego, ze zproponowalem aby shell rootowski byl statyczny,
> a jak zwykle przerodzilo sie to w ostra dyskusje. Czy tak czy siak
Oh przepraszam ja osobiście nie zamierzam się o to kłucić. Tylko wciąż
nadal jestem
zaciekawiony dlaczego niby prawdopodobiestwo, że palnie się statyczny
/bin/sh
ze względu na błędy w systemie plików miało by być żekomo niższe niż
palnięcie się
pliku /lib/libc.so.6.0.1? Po drugie czy naprawdę warto tworzeniem
statycznej otoczki
za taką ewentualność "karać" każdego kto lubi wpisać na początku scryptu
#!/bin/sh
zamiast #!/bin/bash? Tak jak Tomek już mówił czemu po prostu nie zrobić
#!/bin/sh-static
lub czegoś podobnego i wywoływac to zamiasr /bin/sh w dropin trybie po
wykryciu
poważnych błędów w systemie plików ?!
> dystrybucja trafi do roznych ludzi i roznie bedzie oceniana, nie jest moim
> zamyslem robienie z ludzi glupow, poucznie czy wytykanie niedozolonych
> operacji. Jeden potraktuje statyczny shell jako zapobiegawczosc i dbanie o
> stabilnosc systemu, drugi zbeszta z blotem twierdzac, ze jest to zbedne
> trzeci oleje to wogole...
>
> Mysle, ze to Ci co uznaja to powiedzmy za zbedne To tacy ktorzy znaja sie
> dosyc dobrze na Linuxie i beda pracowali na swojej ulubionej dystrybucji,
> natomiast mlode pokelenie zaczynajace prace z PLD bedzie przyszla
> 'klientela' ... updatujaca PLD zgodnie z wychodzacymi nowymi wersjami ...
>
> > Ja wolę tam ogólnie raczej trzymać się pewnych konwencji i nie
> > próbować wszystkiego robić inaczej od reszty świata. Ułatwia to po
> > prostu codzienną robotę. Oczywiście nie koniecznie uważam wszelkie
> > nowinki
> > z RedHat-a za goden kopiowania albo za powszechną konwencję.
>
> To ze statycznym shellem, to nie jest moj jakis tam wyimaginowany pomysl,
> ale standardowa procedura np w bashu -- gdzie jest doradzane linkowanie
> statyczne w wypadku kiedy idzie na rootshella ... To ze innym
Wiesz zdradzę Ci pewną tajemnicę: Statyczne konsolidowanie otoczki bash
jest sugerowane ze względu na pewne zabezpieczenie przed błędami typu
buffer-overrun w tym pięknym bash-u. (Jeśli brak wskaźnika ramy
przy wywoływaniach systemowych to pewnego rodzaju ataki stają się
trudniejsze.) Oczywiście jest czystym truizmem wspominać, że tego typu
błedów w tym bash-u, w którym ciągle jest coś grzebane, (miłej zabawy
przy przechodzeniu z bash-1.14 na bash-2.0! ręczę że jest prawie tak
fajnie jak było z perl-4 i perl-5) jest mnocho i
jeszcze więcej.
> shell-developerom sie bash nie podoba to IMHO zazdrosc, bo ja na ten
> przyklad uwazam ze bash jest chyba najszybciej rozwiajny i ma najwiecej
> zwolennikow/uzytkownikow...
A w dokumentacji do Solarisa przestrzega się explicite przed stosowaniem
bash'a jako otoczki dla root-a. I wiesz nie jeden admin potwierdza, że
nie tak całkiem przez przypadek: Obejżyj sobie jakie to otoczenie
parametryczne
definiuje sobie bash przeczytaj co to tam te parametry nie mają robić
i pomedytuj nad tym parę minut. Biblioteka readline, jest też
że tak powiem bardzo bardzo "inspirująca". Podobnie ma się
z gettext-em. (W gettext też jest bufferoverflow na parametrze LOCALE.)
Naprawdę nieco mnie dziwi, że właśnie taki zdeklarowany
"fanatyk" bezpieczeństwa jak Ty jest takim zwollennikiem bash-a!
Co się tyczy ilości użytkowników to nie wiem ilu z nich wybór
dokonuje świadomie... A po drugie to wbrew pozorom ludzie
z XxxxBSD nie tak całkiem przez przypadek wypinają się czasami na
Linux-a jako system dla amatorów :-). A propos w FreeBSD za root-a
robi zsh.
--Marcin
Więcej informacji o liście dyskusyjnej pld-devel-pl