On Mon, Jun 27, 2005 at 11:30:16AM +0400, Epiphanov Sergei wrote:
> > 1) perl, если запущен от root'а, должен работать в режиме taint mode.
> Кто кому должен? Я понимаю, что лучше всего, если этот режим включён. Но 
> когда необходимо, чтобы отработал свой собственный скрипт, недоступный 
> другим, мне лень тратить времени и сил в два раза больше. Сам написал - сам 
> виноват в последствиях. Нет уж, пусть будет как есть.

Вы запускаете этот скрипт от рута? :)  Тогда вам сюда:
http://www.linux.org.ru/view-message.jsp?msgid=392747&page=0

Сейчас правило для имплицитного включения tain mode выглядит так:
perl.c:    PL_tainting |= (PL_uid && (PL_euid != PL_uid || PL_egid != PL_gid));

Предлагается добавить в условие PL_euid==0 || ...

> > 2) Нужно запретить запускать CPAN от root'а.  Возможная альтернатива --
> > группа cpan и права 03775 root:cpan на /usr/local/lib/perl5.
> 
> А Вы уже проверяли, что это заработает нормально? Я уже на подобном налетел: 
> посоветовал сначала, а когда стал проверять, то понял, что так нельзя. :(

Нет ещё.  Но принципиальных ограничений не вижу.