From: "Dmitry V. Levin" <ldv@alt-linux.org> To: devel@altlinux.ru Subject: [devel] IA: time to fix /var/lock problem Date: Mon, 1 Oct 2001 19:07:47 +0400 Message-ID: <20011001190747.C31407@ldv.office.alt-linux.org> (raw) [-- Attachment #1: Type: text/plain, Size: 1945 bytes --] Greetings! Вкратце суть вопроса: /var/lock - традиционное место для размещения lock-файлов разной природы. Разные программы создают такие файлы как непосредственно в /var/lock, так и в его подкаталогах. По исторически сложившейся традиции, права доступа на этот каталог сделаны такими (%attr(root,uucp,775)), чтобы разные утилиты, осуществляющие доступ к последовательным портам, могли создавать и удалять блокировки (как свои, так и чужие) в этом каталоге. Однако эта схема является потенциально опасной: уязвимость в одной из компонент системы, которая имеет доступ по записи к каталогу /var/lock, может быть использована для манипулирования другими lock-файлами с целью взлома системы в целом (подобная проблема в свое время привела к переработке скриптов /etc/cron.*/makewhatis и выкладыванию пакета man в updates). Предлагаемое решение: Вместо /var/lock использовать для блокировки последовательных портов каталог /var/lock/serial (%attr(root,serial,770)), вернув /var/lock нормальное значение (%attr(root,root,755)). Для этого необходимо пересобрать и протестировать работу всех пакетов, работающих с последовательными портами. По памяти, это pppd, wvdial, minicom, uucp, mgetty, hylafax; уверен, что этот список неполон. Просьба всем maintainer'ам проверить свои пакеты на предмет того, требуется ли их пересобирать с lockdir=/var/lock/serial или нет. Если Вы чувствуете, что не можете этого сделать - обязательно напишите мне об том; один "забытый" пакет может нарушить нормальное функционирование других пакетов, работающих с последовательными портами. Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@alt-linux.org ALT Linux Team http://www.altlinux.ru/ Fandra Project http://www.fandra.org/ +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
next reply other threads:[~2001-10-01 15:07 UTC|newest] Thread overview: 4+ messages / expand[flat|nested] mbox.gz Atom feed top 2001-10-01 15:07 Dmitry V. Levin [this message] 2001-10-02 17:01 ` Ivan Zakharyaschev 2001-10-02 17:59 ` Dmitry V. Levin 2001-10-03 9:42 ` Sir Raorn
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20011001190747.C31407@ldv.office.alt-linux.org \ --to=ldv@alt-linux.org \ --cc=devel@altlinux.ru \ --cc=devel@linux.iplabs.ru \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git