* [sisyphus] Q: perl security, CPAN security
@ 2005-06-26 9:06 Alexey Tourbin
2005-06-27 7:30 ` Epiphanov Sergei
0 siblings, 1 reply; 41+ messages in thread
From: Alexey Tourbin @ 2005-06-26 9:06 UTC (permalink / raw)
To: Sisyphus
[-- Attachment #1: Type: text/plain, Size: 346 bytes --]
Здравствуйте.
Есть две мысли:
1) perl, если запущен от root'а, должен работать в режиме taint mode.
Сейчас это не так:
$ sudo perl -le 'print ${^TAINT}'
0
$ sudo perl -T -le 'print ${^TAINT}'
1
$
2) Нужно запретить запускать CPAN от root'а. Возможная альтернатива --
группа cpan и права 03775 root:cpan на /usr/local/lib/perl5.
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] Q: perl security, CPAN security
2005-06-26 9:06 [sisyphus] Q: perl security, CPAN security Alexey Tourbin
@ 2005-06-27 7:30 ` Epiphanov Sergei
2005-06-27 7:48 ` [sisyphus] " Alexey Tourbin
0 siblings, 1 reply; 41+ messages in thread
From: Epiphanov Sergei @ 2005-06-27 7:30 UTC (permalink / raw)
To: Sisyphus
В сообщении от 26 Июнь 2005 13:06 Alexey Tourbin написал:
> Здравствуйте.
> Есть две мысли:
>
> 1) perl, если запущен от root'а, должен работать в режиме taint mode.
Кто кому должен? Я понимаю, что лучше всего, если этот режим включён. Но
когда необходимо, чтобы отработал свой собственный скрипт, недоступный
другим, мне лень тратить времени и сил в два раза больше. Сам написал - сам
виноват в последствиях. Нет уж, пусть будет как есть.
> 2) Нужно запретить запускать CPAN от root'а. Возможная альтернатива --
> группа cpan и права 03775 root:cpan на /usr/local/lib/perl5.
А Вы уже проверяли, что это заработает нормально? Я уже на подобном налетел:
посоветовал сначала, а когда стал проверять, то понял, что так нельзя. :(
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 41+ messages in thread
* [sisyphus] Re: Q: perl security, CPAN security
2005-06-27 7:30 ` Epiphanov Sergei
@ 2005-06-27 7:48 ` Alexey Tourbin
2005-06-27 7:57 ` Alexey Tourbin
0 siblings, 1 reply; 41+ messages in thread
From: Alexey Tourbin @ 2005-06-27 7:48 UTC (permalink / raw)
To: Sisyphus
[-- Attachment #1: Type: text/plain, Size: 1113 bytes --]
On Mon, Jun 27, 2005 at 11:30:16AM +0400, Epiphanov Sergei wrote:
> > 1) perl, если запущен от root'а, должен работать в режиме taint mode.
> Кто кому должен? Я понимаю, что лучше всего, если этот режим включён. Но
> когда необходимо, чтобы отработал свой собственный скрипт, недоступный
> другим, мне лень тратить времени и сил в два раза больше. Сам написал - сам
> виноват в последствиях. Нет уж, пусть будет как есть.
Вы запускаете этот скрипт от рута? :) Тогда вам сюда:
http://www.linux.org.ru/view-message.jsp?msgid=392747&page=0
Сейчас правило для имплицитного включения tain mode выглядит так:
perl.c: PL_tainting |= (PL_uid && (PL_euid != PL_uid || PL_egid != PL_gid));
Предлагается добавить в условие PL_euid==0 || ...
> > 2) Нужно запретить запускать CPAN от root'а. Возможная альтернатива --
> > группа cpan и права 03775 root:cpan на /usr/local/lib/perl5.
>
> А Вы уже проверяли, что это заработает нормально? Я уже на подобном налетел:
> посоветовал сначала, а когда стал проверять, то понял, что так нельзя. :(
Нет ещё. Но принципиальных ограничений не вижу.
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* [sisyphus] Re: Q: perl security, CPAN security
2005-06-27 7:48 ` [sisyphus] " Alexey Tourbin
@ 2005-06-27 7:57 ` Alexey Tourbin
2005-06-27 9:03 ` Epiphanov Sergei
0 siblings, 1 reply; 41+ messages in thread
From: Alexey Tourbin @ 2005-06-27 7:57 UTC (permalink / raw)
To: Sisyphus
[-- Attachment #1: Type: text/plain, Size: 1352 bytes --]
On Mon, Jun 27, 2005 at 11:48:52AM +0400, Alexey Tourbin wrote:
> On Mon, Jun 27, 2005 at 11:30:16AM +0400, Epiphanov Sergei wrote:
> > > 1) perl, если запущен от root'а, должен работать в режиме taint mode.
> > Кто кому должен? Я понимаю, что лучше всего, если этот режим включён. Но
> > когда необходимо, чтобы отработал свой собственный скрипт, недоступный
> > другим, мне лень тратить времени и сил в два раза больше. Сам написал - сам
> > виноват в последствиях. Нет уж, пусть будет как есть.
>
> Вы запускаете этот скрипт от рута? :) Тогда вам сюда:
> http://www.linux.org.ru/view-message.jsp?msgid=392747&page=0
>
> Сейчас правило для имплицитного включения tain mode выглядит так:
> perl.c: PL_tainting |= (PL_uid && (PL_euid != PL_uid || PL_egid != PL_gid));
>
> Предлагается добавить в условие PL_euid==0 || ...
Забыл сказать, что будет такой же workaround, какой сейчас существует.
$ cat test.pl
#!/usr/bin/perl -T
print `date`;
$ ./test.pl
Insecure $ENV{PATH} while running with -T switch at ./test.pl line 2.
$ perl ./test.pl
"-T" is on the #! line, it must also be used on the command line at ./test.pl line 1.
$ perl -t ./test.pl
Insecure $ENV{PATH} while running with -t switch at ./test.pl line 2.
Insecure EXEC while running with -t switch at ./test.pl line 2.
Mon Jun 27 11:55:38 MSD 2005
$
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] Re: Q: perl security, CPAN security
2005-06-27 7:57 ` Alexey Tourbin
@ 2005-06-27 9:03 ` Epiphanov Sergei
2005-06-27 9:53 ` Alexey Tourbin
2005-06-28 9:29 ` Dmitry V. Levin
0 siblings, 2 replies; 41+ messages in thread
From: Epiphanov Sergei @ 2005-06-27 9:03 UTC (permalink / raw)
To: Sisyphus
В сообщении от 27 Июнь 2005 11:57 Alexey Tourbin написал:
> > Сейчас правило для имплицитного включения tain mode выглядит так:
> > perl.c: PL_tainting |= (PL_uid && (PL_euid != PL_uid || PL_egid !=
> > PL_gid));
> >
> > Предлагается добавить в условие PL_euid==0 || ...
>
> Забыл сказать, что будет такой же workaround, какой сейчас существует.
Хм, сейчас я могу выбрать, включать или нет этот режим. В Вашем случае
волей-неволей придётся ломать голову над каждой инструкцией.
Например, рабочий скрипт вида:
#!/usr/bin/perl
foreach $l(@ARGV){
system("/usr/bin/команда '$l'");
}
и притом, что я знаю, что это за 'команда' и что получу в результате, всё
равно скрипт придётся обвешивать бог знает чем. Для скриптов, которые я хоть
как-то задействую в управлении сервером, я обязательно пишу параметр -T. Вы,
когда пишите '/bin/cat "file"', не проверяете file на "вшивость". Хотя
знаете, что нетекстовый файл может привести к сбою шрифтов консоли. Так же и
я пишу на Perl.
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 41+ messages in thread
* [sisyphus] Re: Q: perl security, CPAN security
2005-06-27 9:03 ` Epiphanov Sergei
@ 2005-06-27 9:53 ` Alexey Tourbin
2005-06-27 10:55 ` Epiphanov Sergei
2005-06-28 9:29 ` Dmitry V. Levin
1 sibling, 1 reply; 41+ messages in thread
From: Alexey Tourbin @ 2005-06-27 9:53 UTC (permalink / raw)
To: Sisyphus
[-- Attachment #1: Type: text/plain, Size: 1834 bytes --]
On Mon, Jun 27, 2005 at 01:03:25PM +0400, Epiphanov Sergei wrote:
> В сообщении от 27 Июнь 2005 11:57 Alexey Tourbin написал:
> > > Сейчас правило для имплицитного включения tain mode выглядит так:
> > > perl.c: PL_tainting |= (PL_uid && (PL_euid != PL_uid || PL_egid !=
> > > PL_gid));
> > >
> > > Предлагается добавить в условие PL_euid==0 || ...
> >
> > Забыл сказать, что будет такой же workaround, какой сейчас существует.
> Хм, сейчас я могу выбрать, включать или нет этот режим. В Вашем случае
> волей-неволей придётся ломать голову над каждой инструкцией.
Можно запустить с опцией -t (enable tainting warnings), она "перебивает"
опцию -T (enable tainting checks). Об этом лучше никому не говорить. :)
> Например, рабочий скрипт вида:
>
> #!/usr/bin/perl
> foreach $l(@ARGV){
> system("/usr/bin/команда '$l'");
> }
Рабочий? То есть он берёт произвольные аргументы с командной строки и
передаёт их shell'у для выполнения? Вот смотрите:
$ cat test.pl
#!/usr/bin/perl
foreach $l(@ARGV){
print "/usr/bin/команда '$l'\n";
}
$ perl test.pl arg
/usr/bin/команда 'arg'
$ perl test.pl arg\'\;rm\ -rf\ \'/
/usr/bin/команда 'arg';rm -rf '/'
$
Квотирование -- это вообще некое неприятное место как в шелле, так и в
перле (отчасти вследствие шелла).
> и притом, что я знаю, что это за 'команда' и что получу в результате, всё
> равно скрипт придётся обвешивать бог знает чем. Для скриптов, которые я хоть
> как-то задействую в управлении сервером, я обязательно пишу параметр -T. Вы,
> когда пишите '/bin/cat "file"', не проверяете file на "вшивость". Хотя
> знаете, что нетекстовый файл может привести к сбою шрифтов консоли. Так же и
> я пишу на Perl.
Ох, я не использую /bin/cat, я использую
$ perl -MConfig -le 'print $Config{pager}'
/usr/bin/less -isR
$
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] Re: Q: perl security, CPAN security
2005-06-27 9:53 ` Alexey Tourbin
@ 2005-06-27 10:55 ` Epiphanov Sergei
2005-06-27 11:29 ` Alexey Tourbin
0 siblings, 1 reply; 41+ messages in thread
From: Epiphanov Sergei @ 2005-06-27 10:55 UTC (permalink / raw)
To: Sisyphus
В сообщении от 27 Июнь 2005 13:53 Alexey Tourbin написал:
> Можно запустить с опцией -t (enable tainting warnings), она "перебивает"
> опцию -T (enable tainting checks). Об этом лучше никому не говорить.
А что в лес, что по дрова. Искать нужный текст среди кучи warning'ов иногда
не легче настройки из-за -T. А уж как apache на тестовой машине обрадуется
(проверка дат, окружения, пробовать достучаться до файлов, ... ). :)
> $ perl test.pl arg
> /usr/bin/команда 'arg'
> $ perl test.pl arg\'\;rm\ -rf\ \'/
> /usr/bin/команда 'arg';rm -rf '/'
> $
Но эти же команды Вы набираете сами! Стало быть, можно проверить что
набираете. Повторяю: для _личного_ пользования. Я пишу подобное для
обработки СВОИХ файлов в каталоге, предварительно просмотрев написание их
имён.
> > > 2) Нужно запретить запускать CPAN от root'а. Возможная альтернатива --
> > > группа cpan и права 03775 root:cpan на /usr/local/lib/perl5.
> >
> > А Вы уже проверяли, что это заработает нормально? Я уже на подобном
налетел:
> > посоветовал сначала, а когда стал проверять, то понял, что так нельзя. :(
>
> Нет ещё. Но принципиальных ограничений не вижу.
У меня umask 077 для не-root. Стало быть, после Вашей установки никто не
получит доступ к модулям, если специально не дёргаться.
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 41+ messages in thread
* [sisyphus] Re: Q: perl security, CPAN security
2005-06-27 10:55 ` Epiphanov Sergei
@ 2005-06-27 11:29 ` Alexey Tourbin
2005-06-27 12:04 ` Epiphanov Sergei
` (2 more replies)
0 siblings, 3 replies; 41+ messages in thread
From: Alexey Tourbin @ 2005-06-27 11:29 UTC (permalink / raw)
To: Sisyphus
[-- Attachment #1: Type: text/plain, Size: 1530 bytes --]
On Mon, Jun 27, 2005 at 02:55:44PM +0400, Epiphanov Sergei wrote:
> А что в лес, что по дрова. Искать нужный текст среди кучи warning'ов иногда
> не легче настройки из-за -T. А уж как apache на тестовой машине обрадуется
> (проверка дат, окружения, пробовать достучаться до файлов, ... ). :)
Вы понимаете, что это *только для рута* предлагается сделать?
У вас apache исполняет перловый код с правами рута?
> > $ perl test.pl arg
> > /usr/bin/команда 'arg'
> > $ perl test.pl arg\'\;rm\ -rf\ \'/
> > /usr/bin/команда 'arg';rm -rf '/'
> > $
>
> Но эти же команды Вы набираете сами! Стало быть, можно проверить что
> набираете. Повторяю: для _личного_ пользования. Я пишу подобное для
> обработки СВОИХ файлов в каталоге, предварительно просмотрев написание их
> имён.
Однако же полномочия рута выходят за пределы СВОИХ файлов в каталоге.
В сущности, некоторые программы просто отказываются запускаться от рута.
Кажется, раньше perldoc не запускался от рута. В elinks'е есть опция
configure
--enable-no-root enable prevention of usage by root
Запускать нетривиальную программу от рута -- небезопасно, принудительно
запрещать её запускать -- глупо. В перле есть разумная альтернатива --
taint mode.
> У меня umask 077 для не-root. Стало быть, после Вашей установки никто не
> получит доступ к модулям, если специально не дёргаться.
А у кого-то, наоборот, umask 077 для root. Стало быть, после такой
установки никто не получит доступ к модулям, если специально не
дёргаться.
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] Re: Q: perl security, CPAN security
2005-06-27 11:29 ` Alexey Tourbin
@ 2005-06-27 12:04 ` Epiphanov Sergei
2005-06-27 12:11 ` Epiphanov Sergei
2005-06-27 12:13 ` Epiphanov Sergei
2 siblings, 0 replies; 41+ messages in thread
From: Epiphanov Sergei @ 2005-06-27 12:04 UTC (permalink / raw)
To: Sisyphus
В сообщении от 27 Июнь 2005 15:29 Alexey Tourbin написал:
> On Mon, Jun 27, 2005 at 02:55:44PM +0400, Epiphanov Sergei wrote:
> Вы понимаете, что это *только для рута* предлагается сделать?
> У вас apache исполняет перловый код с правами рута?
Что ж, здесь погорячился... Хотя иногда запускаю. Для вывода статичной
тестовой информации.
> > > $ perl test.pl arg
> > > /usr/bin/команда 'arg'
> > > $ perl test.pl arg\'\;rm\ -rf\ \'/
> > > /usr/bin/команда 'arg';rm -rf '/'
> > > $
> >
> > Но эти же команды Вы набираете сами! Стало быть, можно проверить что
> > набираете. Повторяю: для _личного_ пользования. Я пишу подобное для
> > обработки СВОИХ файлов в каталоге, предварительно просмотрев написание
> > их имён.
>
> Однако же полномочия рута выходят за пределы СВОИХ файлов в каталоге.
Знаю, что выходят. Но для этого и существует голова, чтобы ей думать, а не
только есть. :)
> В сущности, некоторые программы просто отказываются запускаться от рута.
> Кажется, раньше perldoc не запускался от рута. В elinks'е есть опция
> configure
> --enable-no-root enable prevention of usage by root
>
> Запускать нетривиальную программу от рута -- небезопасно, принудительно
> запрещать её запускать -- глупо. В перле есть разумная альтернатива --
> taint mode.
Ага, гайки закрутили с локалью рута, пришлось их смазывать из-за нового mc.
Теперь необходимо будет проверять все свои программы на работу в режиме
taint... Правда, их очень мало.
> > У меня umask 077 для не-root. Стало быть, после Вашей установки никто не
> > получит доступ к модулям, если специально не дёргаться
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] Re: Q: perl security, CPAN security
2005-06-27 11:29 ` Alexey Tourbin
2005-06-27 12:04 ` Epiphanov Sergei
@ 2005-06-27 12:11 ` Epiphanov Sergei
2005-06-27 12:13 ` Epiphanov Sergei
2 siblings, 0 replies; 41+ messages in thread
From: Epiphanov Sergei @ 2005-06-27 12:11 UTC (permalink / raw)
To: Sisyphus
В сообщении от 27 Июнь 2005 15:29 Alexey Tourbin написал:
> On Mon, Jun 27, 2005 at 02:55:44PM +0400, Epiphanov Sergei wrote:
> Вы понимаете, что это *только для рута* предлагается сделать?
> У вас apache исполняет перловый код с правами рута?
Что ж, здесь погорячился... Хотя иногда запускаю. Для вывода статичной
тестовой информации.
> > > $ perl test.pl arg
> > > /usr/bin/команда 'arg'
> > > $ perl test.pl arg\'\;rm\ -rf\ \'/
> > > /usr/bin/команда 'arg';rm -rf '/'
> > > $
> >
> > Но эти же команды Вы набираете сами! Стало быть, можно проверить что
> > набираете. Повторяю: для _личного_ пользования. Я пишу подобное для
> > обработки СВОИХ файлов в каталоге, предварительно просмотрев написание
> > их имён.
>
> Однако же полномочия рута выходят за пределы СВОИХ файлов в каталоге.
Знаю, что выходят. Но для этого и существует голова, чтобы ей думать, а не
только есть. :)
> В сущности, некоторые программы просто отказываются запускаться от рута.
> Кажется, раньше perldoc не запускался от рута. В elinks'е есть опция
> configure
> --enable-no-root enable prevention of usage by root
>
> Запускать нетривиальную программу от рута -- небезопасно, принудительно
> запрещать её запускать -- глупо. В перле есть разумная альтернатива --
> taint mode.
Ага, гайки закрутили с локалью рута, пришлось их смазывать из-за нового mc.
Теперь необходимо будет проверять все свои программы на работу в режиме
taint... Правда, их очень мало.
> > У меня umask 077 для не-root. Стало быть, после Вашей установки никто не
> > получит доступ к модулям, если специально не дёргаться
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] Re: Q: perl security, CPAN security
2005-06-27 11:29 ` Alexey Tourbin
2005-06-27 12:04 ` Epiphanov Sergei
2005-06-27 12:11 ` Epiphanov Sergei
@ 2005-06-27 12:13 ` Epiphanov Sergei
2005-06-27 12:58 ` Alexey Tourbin
2 siblings, 1 reply; 41+ messages in thread
From: Epiphanov Sergei @ 2005-06-27 12:13 UTC (permalink / raw)
To: Sisyphus
Прошу прощения, клинит KMail. Окончание письма:
> А у кого-то, наоборот, umask 077 для root. Стало быть, после такой
> установки никто не получит доступ к модулям, если специально не
> дёргаться.
Своеобразно. :) Обычно раз идёт работа от root, то ждёшь у него 022. Тот же
уровень безопасности 4 в Mandrake предполагает установку 022 для root и 077
для не-root и в этом есть своя логика.
Я вот о чём: получается, что на perl один и тот же скрипт под разными
пользователями будет по-разному работать. В результате, в частности,
откажется работать VMWare (vmware-config.pl из 5.0.0-13124 точно):
# ./vmware-config.pl
Insecure $ENV{ENV} while running with -T switch at ./vmware-config.pl line
987.
#
Да Вас тогда пользователи VmWare порвут сразу же и уйдут на другой
дистрибутив. А VMWare вряд ли прислушается только к ALTLinux.
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 41+ messages in thread
* [sisyphus] Re: Q: perl security, CPAN security
2005-06-27 12:13 ` Epiphanov Sergei
@ 2005-06-27 12:58 ` Alexey Tourbin
2005-06-27 13:11 ` [sisyphus] [JT] " Michael Shigorin
2005-06-27 13:14 ` [sisyphus] " Epiphanov Sergei
0 siblings, 2 replies; 41+ messages in thread
From: Alexey Tourbin @ 2005-06-27 12:58 UTC (permalink / raw)
To: Sisyphus
[-- Attachment #1: Type: text/plain, Size: 833 bytes --]
On Mon, Jun 27, 2005 at 04:13:57PM +0400, Epiphanov Sergei wrote:
> > А у кого-то, наоборот, umask 077 для root. Стало быть, после такой
> > установки никто не получит доступ к модулям, если специально не
> > дёргаться.
>
> Своеобразно. :) Обычно раз идёт работа от root, то ждёшь у него 022. Тот же
> уровень безопасности 4 в Mandrake предполагает установку 022 для root и 077
> для не-root и в этом есть своя логика.
Какая в этом логика? Чем это лучше chmod 0700 ~ ?
> # ./vmware-config.pl
> Insecure $ENV{ENV} while running with -T switch at ./vmware-config.pl line
> 987.
> #
А что там на строчке 987? И что там или у вас в $ENV{ENV}?
> Да Вас тогда пользователи VmWare порвут сразу же и уйдут на другой
> дистрибутив. А VMWare вряд ли прислушается только к ALTLinux.
Диктатура пролетариата...
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* [sisyphus] [JT] Re: Q: perl security, CPAN security
2005-06-27 12:58 ` Alexey Tourbin
@ 2005-06-27 13:11 ` Michael Shigorin
2005-06-28 5:39 ` Ivan Adzhubey
2005-06-27 13:14 ` [sisyphus] " Epiphanov Sergei
1 sibling, 1 reply; 41+ messages in thread
From: Michael Shigorin @ 2005-06-27 13:11 UTC (permalink / raw)
To: sisyphus
On Mon, Jun 27, 2005 at 04:58:16PM +0400, Alexey Tourbin wrote:
> > Да Вас тогда пользователи VmWare порвут сразу же и уйдут на
> > другой дистрибутив. А VMWare вряд ли прислушается только к
> > ALTLinux.
> Диктатура пролетариата...
...никогда ничем хорошим не заканчивалась. В первую очередь
-- для самого пролетариата ("...как фанера над Парижем").
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] Re: Q: perl security, CPAN security
2005-06-27 12:58 ` Alexey Tourbin
2005-06-27 13:11 ` [sisyphus] [JT] " Michael Shigorin
@ 2005-06-27 13:14 ` Epiphanov Sergei
2005-06-27 13:28 ` Alexey Tourbin
1 sibling, 1 reply; 41+ messages in thread
From: Epiphanov Sergei @ 2005-06-27 13:14 UTC (permalink / raw)
To: Sisyphus
В сообщении от 27 Июнь 2005 16:58 Alexey Tourbin написал:
> On Mon, Jun 27, 2005 at 04:13:57PM +0400, Epiphanov Sergei wrote:
> > > А у кого-то, наоборот, umask 077 для root. Стало быть, после такой
> > > установки никто не получит доступ к модулям, если специально не
> > > дёргаться.
> >
> > Своеобразно. :) Обычно раз идёт работа от root, то ждёшь у него 022. Тот
> > же уровень безопасности 4 в Mandrake предполагает установку 022 для root
> > и 077 для не-root и в этом есть своя логика.
>
> Какая в этом логика? Чем это лучше chmod 0700 ~ ?
По большей части под root приходится копировать файлы из локального каталога
в системный. При 077 для root создаваемый файл будет недоступен для чтения
никому, кроме root. При 022 - доступен на чтение (и, возможно, на
исполнение). Лично моё мнение. Если чего не вижу - подскажите. Без обид с
моей стороны.
> > # ./vmware-config.pl
> > Insecure $ENV{ENV} while running with -T switch at ./vmware-config.pl
> > line 987.
> > #
>
> А что там на строчке 987? И что там или у вас в $ENV{ENV}?
Не у меня, у VMWare. Кусок из программы vmware-config.pl:
...
# Execute the command passed as an argument
# _without_ interpolating variables (Perl does it by default)
sub direct_command {
return `$_[0]`;
}
...
> > Да Вас тогда пользователи VmWare порвут сразу же и уйдут на другой
> > дистрибутив. А VMWare вряд ли прислушается только к ALTLinux.
>
> Диктатура пролетариата...
Какая уж диктатура. На данный момент чтобы настроить VMWare, необходимо уже
сделать несколько нетривиальных движений (одно из-за ошибки установщика,
другое из-за ошибки Makefile модулей vmnet-only и vmmon-only). Если ещё и
это добавится... Да, а как на это дополнение отнесутся aclocal и automake?
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 41+ messages in thread
* [sisyphus] Re: Q: perl security, CPAN security
2005-06-27 13:14 ` [sisyphus] " Epiphanov Sergei
@ 2005-06-27 13:28 ` Alexey Tourbin
2005-06-28 4:57 ` Andrey Rahmatullin
2005-06-28 7:51 ` Epiphanov Sergei
0 siblings, 2 replies; 41+ messages in thread
From: Alexey Tourbin @ 2005-06-27 13:28 UTC (permalink / raw)
To: Sisyphus
[-- Attachment #1: Type: text/plain, Size: 1860 bytes --]
On Mon, Jun 27, 2005 at 05:14:34PM +0400, Epiphanov Sergei wrote:
> > > Своеобразно. :) Обычно раз идёт работа от root, то ждёшь у него 022. Тот
> > > же уровень безопасности 4 в Mandrake предполагает установку 022 для root
> > > и 077 для не-root и в этом есть своя логика.
> >
> > Какая в этом логика? Чем это лучше chmod 0700 ~ ?
>
> По большей части под root приходится копировать файлы из локального каталога
> в системный. При 077 для root создаваемый файл будет недоступен для чтения
> никому, кроме root. При 022 - доступен на чтение (и, возможно, на
> исполнение). Лично моё мнение. Если чего не вижу - подскажите. Без обид с
> моей стороны.
Да я про обычных пользователей. Какая логика делать им umask 077? Если
все "секретные" данные лежат в HOME, то проще сделать chmod 0700 $HOME.
(По идее, у пользователя должно быть два HOME: один -- private, то бишь
обычный $HOME, c правами 0700; а другой -- public, типа /user/$LOGNAME,
с правами 0755. Поскольку HOME всего один, приходится делать права
0711, внимательно следить за правами на ~/{.,}* и расшаривать только
некоторые каталоги ~/*/. Что-то мне это не нравится...)
> # Execute the command passed as an argument
> # _without_ interpolating variables (Perl does it by default)
> sub direct_command {
> return `$_[0]`;
> }
Судя по комментарию, этот скрипт умеет заниматься чем-то очень странным.
И что у вас говорит `printenv ENV'? Или кто там ENV экспортирует?
> Какая уж диктатура. На данный момент чтобы настроить VMWare, необходимо уже
> сделать несколько нетривиальных движений (одно из-за ошибки установщика,
> другое из-за ошибки Makefile модулей vmnet-only и vmmon-only). Если ещё и
> это добавится... Да, а как на это дополнение отнесутся aclocal и automake?
Так нужно бы сделать vmware.nosrc.rpm и накласть туда всяких патчей.
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] Re: Q: perl security, CPAN security
2005-06-27 13:28 ` Alexey Tourbin
@ 2005-06-28 4:57 ` Andrey Rahmatullin
2005-06-28 14:47 ` Вячеслав Диконов
2005-06-28 7:51 ` Epiphanov Sergei
1 sibling, 1 reply; 41+ messages in thread
From: Andrey Rahmatullin @ 2005-06-28 4:57 UTC (permalink / raw)
To: sisyphus
[-- Attachment #1: Type: text/plain, Size: 540 bytes --]
On Mon, Jun 27, 2005 at 05:28:52PM +0400, Alexey Tourbin wrote:
> Так нужно бы сделать vmware.nosrc.rpm
ftp://ftp.altlinux.ru/pub/people/wrar/vmware/5.0/vmware-5.0.0-alt0.4.1.nosrc.rpm
> и накласть туда всяких патчей.
Во, Лёш, сам напросился. А ну давай пиши патчи к vmware-config.pl, а тоя
перла совсем не знаю, а порезать эту гадость надо бы ;)
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):
> Вот это точно в FAQ надо.
Формулировку (включая ответ) -- встудию://question@ :)
-- mike in community@
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] [JT] Re: Q: perl security, CPAN security
2005-06-27 13:11 ` [sisyphus] [JT] " Michael Shigorin
@ 2005-06-28 5:39 ` Ivan Adzhubey
2005-06-28 5:55 ` [sisyphus] " Alexey Tourbin
0 siblings, 2 replies; 41+ messages in thread
From: Ivan Adzhubey @ 2005-06-28 5:39 UTC (permalink / raw)
To: sisyphus
On Monday 27 June 2005 09:11 am, Michael Shigorin wrote:
> On Mon, Jun 27, 2005 at 04:58:16PM +0400, Alexey Tourbin wrote:
> > > Да Вас тогда пользователи VmWare порвут сразу же и уйдут на
> > > другой дистрибутив. А VMWare вряд ли прислушается только к
> > > ALTLinux.
> >
> > Диктатура пролетариата...
>
> ...никогда ничем хорошим не заканчивалась. В первую очередь
> -- для самого пролетариата ("...как фанера над Парижем").
Ой, что делается... А может все же не надо прям так - серпом по ... ? Ну мы же
интеллигентные люди. Кому надо - и так запустит в taint mode. Ведь полсистемы
рухнет, и так каждый апгрейд перла - почти катастрофа.
Почему-то радикальные предложения по обрезанию перла в основном исходят от
людей, которые им не пользуются. Ну так вас же никто не заставляет!
--
Иван
^ permalink raw reply [flat|nested] 41+ messages in thread
* [sisyphus] Re: [JT] Re: Q: perl security, CPAN security
2005-06-28 5:39 ` Ivan Adzhubey
@ 2005-06-28 5:55 ` Alexey Tourbin
1 sibling, 0 replies; 41+ messages in thread
From: Alexey Tourbin @ 2005-06-28 5:55 UTC (permalink / raw)
To: sisyphus
[-- Attachment #1: Type: text/plain, Size: 1165 bytes --]
On Tue, Jun 28, 2005 at 01:39:22AM -0400, Ivan Adzhubey wrote:
> > > Диктатура пролетариата...
> > ...никогда ничем хорошим не заканчивалась. В первую очередь
> > -- для самого пролетариата ("...как фанера над Парижем").
>
> Ой, что делается... А может все же не надо прям так - серпом по ... ? Ну мы же
Может и не надо... я вот сегодня проснулся и подобрел. :)
> интеллигентные люди. Кому надо - и так запустит в taint mode. Ведь полсистемы
У вас полсистемы -- это перловый код с правами рута?
Не должно, братия мои, сему так быть, ой не должно! :)
> рухнет, и так каждый апгрейд перла - почти катастрофа.
Не верю! Каждое обновление перла тестируется как минимум пересборкой
всех пакетов (у нас еженедельная тестовая пересборка сизифа), а при
сборке почти всех перловых пакетов выполняется "make test".
Плюс я сделал пакет test-perl5abi, который тестирует на бинарную
совместимость уже собранные пакеты.
Что за катастрофы происходят при обновлении перла?
> Почему-то радикальные предложения по обрезанию перла в основном исходят от
> людей, которые им не пользуются. Ну так вас же никто не заставляет!
А я им пользуюсь.
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] Re: Q: perl security, CPAN security
2005-06-27 13:28 ` Alexey Tourbin
2005-06-28 4:57 ` Andrey Rahmatullin
@ 2005-06-28 7:51 ` Epiphanov Sergei
2005-06-28 9:56 ` Andrey Rahmatullin
1 sibling, 1 reply; 41+ messages in thread
From: Epiphanov Sergei @ 2005-06-28 7:51 UTC (permalink / raw)
To: Sisyphus
В сообщении от 27 Июнь 2005 17:28 Alexey Tourbin написал:
> > # Execute the command passed as an argument
> > # _without_ interpolating variables (Perl does it by default)
> > sub direct_command {
> > return `$_[0]`;
> > }
>
> Судя по комментарию, этот скрипт умеет заниматься чем-то очень странным.
>
> И что у вас говорит `printenv ENV'? Или кто там ENV экспортирует?
А фишт его знает. А что это за команда: printenv? Может:
# perl -e 'print $ENV{ENV},"\n";'
/root/.bashrc
#
В этом скрипте такое намешано, что чёрт ногу сломит. В самом скрипте вызовы
функции direct_command наворочены до безобразия. Если интересно, то можете
сами скачать с сайта vmware или его (245кБ) пришлю Вам. Кроме того, ещё есть
vmware-uninstall.pl (тоже от рута) и vmware-mount.pl (может и от
пользователя). А учитывая, что сама vmware работает от root...
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] Re: Q: perl security, CPAN security
2005-06-27 9:03 ` Epiphanov Sergei
2005-06-27 9:53 ` Alexey Tourbin
@ 2005-06-28 9:29 ` Dmitry V. Levin
2005-06-28 10:17 ` Epiphanov Sergei
1 sibling, 1 reply; 41+ messages in thread
From: Dmitry V. Levin @ 2005-06-28 9:29 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 386 bytes --]
On Mon, Jun 27, 2005 at 01:03:25PM +0400, Epiphanov Sergei wrote:
> [...] Вы,
> когда пишите '/bin/cat "file"', не проверяете file на "вшивость". Хотя
> знаете, что нетекстовый файл может привести к сбою шрифтов консоли.
> [...]
Это вы не проверяете. А вот я, например, проверяю. И знаю ещё несколько
человек, которые в такой ситуации предпочитают "less -L".
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] Re: Q: perl security, CPAN security
2005-06-28 7:51 ` Epiphanov Sergei
@ 2005-06-28 9:56 ` Andrey Rahmatullin
2005-06-28 11:51 ` Epiphanov Sergei
0 siblings, 1 reply; 41+ messages in thread
From: Andrey Rahmatullin @ 2005-06-28 9:56 UTC (permalink / raw)
To: sisyphus
[-- Attachment #1: Type: text/plain, Size: 422 bytes --]
On Tue, Jun 28, 2005 at 11:51:46AM +0400, Epiphanov Sergei wrote:
> vmware-uninstall.pl
Не нужен.
> vmware-mount.pl
Не юзал.
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):
> Вот я пользуюсь pine, причём каждый день.
Я вам сочувствую.
Несколько лет назад одного письма "специального вида" мне было достаточно,
чтобы навсегда распрощаться с этим почтовым клиентом.
-- ldv in devel@
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] Re: Q: perl security, CPAN security
2005-06-28 9:29 ` Dmitry V. Levin
@ 2005-06-28 10:17 ` Epiphanov Sergei
2005-06-28 10:27 ` [sisyphus] to cat or not to cat Dmitry V. Levin
0 siblings, 1 reply; 41+ messages in thread
From: Epiphanov Sergei @ 2005-06-28 10:17 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
В сообщении от 28 Июнь 2005 13:29 Dmitry V. Levin написал:
> > [...] Вы,
> > когда пишите '/bin/cat "file"', не проверяете file на "вшивость". Хотя
> > знаете, что нетекстовый файл может привести к сбою шрифтов консоли.
> > [...]
>
> Это вы не проверяете. А вот я, например, проверяю. И знаю ещё несколько
> человек, которые в такой ситуации предпочитают "less -L".
Да? И на каждый набор _руками_ less -L ... Вы вводите что-то вроде
$ newf=`echo "filename" | /bin/sed '...'`; tf=`/bin/file "$newf"|head -n 2`;
case ... esac; if ... ; then less -L newf; fi
? Да не поверю! Потому что это уже паранойя. Скорее всего наберёте в
командной строке
vi /etc/httpd/conf/httpd.conf
или
less -L /etc/passwd
без каких-либо проверок. То есть работа со знакомой прогой и со знакомым
текстом файла. Но Вы будете АБСОЛЮТНО правы, если входные данные непроверены
(например, у elinks) и здесь я буду только ЗА.
Извините, но с какой стати все прицепились к /bin/cat? Когда мне нужно
загналь файл в pipe, то вполне могу воспользоваться /bin/cat. При этом я
знаю, что есть вариант этому:
$ команда <файл
Но я пока не знаю замены для дописывания файла в конец другого, кроме:
$ /bin/cat файл >>файл1
less более громоздкий, dd - надо знать размеры файла, да и не с каждым можно
будет оптимально работать.
Хорошо. Другой пример: есть системные конфигурационные файлы, которые
доступны только root (хотя бы из-за паранойи). Их несколько и Вы знаете,
какие они и что конкретно там надо заменить. Набиваете простенький скрипт,
который осуществляет правку этих файлов. После этого скрипт отправляете на
покой или складываете в укромное место. Так теперь ещё и раскапывать, что
где не работает? И вместо написания строки вроде
perl -e 'команды' /etc/httpd/conf/httpd.conf >/etc/httpd/conf/httpd.conf.new
Придётся городить огромный скрипт.
Мне просто интересно, почему мне нельзя выбирать между обычным и защищённым
режимами работы perl под root? Ломаем копья из-за 3 (трёх) символов:
пробела, дефиса и латинской буквы 'T'.
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] to cat or not to cat
2005-06-28 10:17 ` Epiphanov Sergei
@ 2005-06-28 10:27 ` Dmitry V. Levin
2005-06-28 11:01 ` Epiphanov Sergei
2005-06-29 19:18 ` [sisyphus] [JT] Re: to cat or not to cat Michael Shigorin
0 siblings, 2 replies; 41+ messages in thread
From: Dmitry V. Levin @ 2005-06-28 10:27 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 885 bytes --]
On Tue, Jun 28, 2005 at 02:17:26PM +0400, Epiphanov Sergei wrote:
> В сообщении от 28 Июнь 2005 13:29 Dmitry V. Levin написал:
> > > [...] Вы,
> > > когда пишите '/bin/cat "file"', не проверяете file на "вшивость". Хотя
> > > знаете, что нетекстовый файл может привести к сбою шрифтов консоли.
> > > [...]
> >
> > Это вы не проверяете. А вот я, например, проверяю. И знаю ещё несколько
> > человек, которые в такой ситуации предпочитают "less -L".
>
> Да? И на каждый набор _руками_ less -L ... Вы вводите что-то вроде
>
> $ newf=`echo "filename" | /bin/sed '...'`; tf=`/bin/file "$newf"|head -n 2`;
> case ... esac; if ... ; then less -L newf; fi
Нет, "cat" внутри цикла, а "less -L" - после него.
У меня есть привычка выводить на экран через less.
К тому же
$ cat ~/bin/L
#!/bin/sh
exec less -L "$@"
Впрочем, это уже совсем не про perl.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] to cat or not to cat
2005-06-28 10:27 ` [sisyphus] to cat or not to cat Dmitry V. Levin
@ 2005-06-28 11:01 ` Epiphanov Sergei
2005-06-28 11:11 ` Dmitry V. Levin
2005-06-29 19:18 ` [sisyphus] [JT] Re: to cat or not to cat Michael Shigorin
1 sibling, 1 reply; 41+ messages in thread
From: Epiphanov Sergei @ 2005-06-28 11:01 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
В сообщении от 28 Июнь 2005 14:27 Dmitry V. Levin написал:
> Нет, "cat" внутри цикла, а "less -L" - после него.
> У меня есть привычка выводить на экран через less.
>
> К тому же
> $ cat ~/bin/L
> #!/bin/sh
> exec less -L "$@"
>
> Впрочем, это уже совсем не про perl.
Взял Ваш метод на заметку. А вот в pipe лучше использовать cat. :)
Что же касается perl: я был "за", когда запустили tcb (всего один раз
переключиться). Оказался немного настороже, когда стали переходить на
libdbверсия (libdb1, libdb2, libdb3, libdb4.0, libdb4.1, libdb4.2,
libdb4.3), так как, пересобирая postfix с поддержкой sasl, неоднократно
налетал на несоответствие libdb, с которой собран sasl, и libdb-devel в
системе. Попадал, когда очередная библиотека libdb появилась, начались
пересборки в Сизифе с ней, а libdb-devel в моей системе оставался ещё от
предыдущей. Поэтому сейчас по этому минному полю perl иду настороже, так как
в результате могут встать совершенно случайные скрипты, в которых прописаны
'use strict', жёстко проверяют входные параметры, но которые не проверены на
работу с флагом '-T'. Ладно, свои могу отладить, а что касается сторонних
разработчиков? Каждый раз заниматься поиском, что же они изменили и что
необходимо исправить? Да и при написании новых придётся использовать способы
вытаскивания из dirty-данных чистую информацию.
Воистину Сизифов труд root'а в ALTLinux! Давайте уж сразу приделаем к
клавиатуре линейку, которая бы била по рукам человека, когда он пытается
набрать root в строке login.
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] to cat or not to cat
2005-06-28 11:01 ` Epiphanov Sergei
@ 2005-06-28 11:11 ` Dmitry V. Levin
2005-06-28 11:47 ` [sisyphus] mine fields Epiphanov Sergei
2005-06-28 17:58 ` [sisyphus] to cat or not to cat Igor Zubkov
0 siblings, 2 replies; 41+ messages in thread
From: Dmitry V. Levin @ 2005-06-28 11:11 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 1399 bytes --]
On Tue, Jun 28, 2005 at 03:01:08PM +0400, Epiphanov Sergei wrote:
> [...] Оказался немного настороже, когда стали переходить на
> libdbверсия (libdb1, libdb2, libdb3, libdb4.0, libdb4.1, libdb4.2,
> libdb4.3), так как, пересобирая postfix с поддержкой sasl, неоднократно
> налетал на несоответствие libdb, с которой собран sasl, и libdb-devel в
> системе.
Кончились ваши мучения, теперь в Сизифе есть postfix с поддержкой sasl.
> Попадал, когда очередная библиотека libdb появилась, начались
> пересборки в Сизифе с ней, а libdb-devel в моей системе оставался ещё от
> предыдущей.
Вы не пробовали пожаловаться по этому поводу в Sleepycat software? :)
> Поэтому сейчас по этому минному полю perl иду настороже, так как
> в результате могут встать совершенно случайные скрипты, в которых прописаны
> 'use strict', жёстко проверяют входные параметры, но которые не проверены на
> работу с флагом '-T'. Ладно, свои могу отладить, а что касается сторонних
> разработчиков? Каждый раз заниматься поиском, что же они изменили и что
> необходимо исправить? Да и при написании новых придётся использовать способы
> вытаскивания из dirty-данных чистую информацию.
>
> Воистину Сизифов труд root'а в ALTLinux! Давайте уж сразу приделаем к
> клавиатуре линейку, которая бы била по рукам человека, когда он пытается
> набрать root в строке login.
:)
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] mine fields
2005-06-28 11:11 ` Dmitry V. Levin
@ 2005-06-28 11:47 ` Epiphanov Sergei
2005-06-28 12:19 ` [sisyphus] postfix-tls Dmitry V. Levin
2005-06-28 13:01 ` [sisyphus] Re: mine fields Konstantin A. Lepikhov
2005-06-28 17:58 ` [sisyphus] to cat or not to cat Igor Zubkov
1 sibling, 2 replies; 41+ messages in thread
From: Epiphanov Sergei @ 2005-06-28 11:47 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
В сообщении от 28 Июнь 2005 15:11 Dmitry V. Levin написал:
> On Tue, Jun 28, 2005 at 03:01:08PM +0400, Epiphanov Sergei wrote:
> > [...] Оказался немного настороже, когда стали переходить на
> > libdbверсия (libdb1, libdb2, libdb3, libdb4.0, libdb4.1, libdb4.2,
> > libdb4.3), так как, пересобирая postfix с поддержкой sasl, неоднократно
> > налетал на несоответствие libdb, с которой собран sasl, и libdb-devel в
> > системе.
>
> Кончились ваши мучения, теперь в Сизифе есть postfix с поддержкой sasl.
А в последней версии исправили ошибку запуска программ, связанных с tls и
sasl? Эта ошибка сообщалась недавно в Сизифе.
> > Попадал, когда очередная библиотека libdb появилась, начались
> > пересборки в Сизифе с ней, а libdb-devel в моей системе оставался ещё от
> > предыдущей.
>
> Вы не пробовали пожаловаться по этому поводу в Sleepycat software? :)
Когда это началось, то у меня был очень ограничен выход в инет с работы, а
дома через сотовый телефон ещё хуже. Где-то год назад всё наладилось, но
терепь пока отпали вопросы. :)
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] Re: Q: perl security, CPAN security
2005-06-28 9:56 ` Andrey Rahmatullin
@ 2005-06-28 11:51 ` Epiphanov Sergei
2005-06-28 14:32 ` Andrey Rahmatullin
0 siblings, 1 reply; 41+ messages in thread
From: Epiphanov Sergei @ 2005-06-28 11:51 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
В сообщении от 28 Июнь 2005 13:56 Andrey Rahmatullin написал:
> > vmware-uninstall.pl
> Не нужен.
То есть думаете, что руками сможете спокойно вытащить vmware из системы?
Вообще-то можно, но зачем Вам изобретать велосипед?
> > vmware-mount.pl
> Не юзал.
Мне вообще неизвестно, кто вызывает этот скрипт. Как бы не сама vmware...
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] postfix-tls
2005-06-28 11:47 ` [sisyphus] mine fields Epiphanov Sergei
@ 2005-06-28 12:19 ` Dmitry V. Levin
2005-06-28 13:01 ` [sisyphus] Re: mine fields Konstantin A. Lepikhov
1 sibling, 0 replies; 41+ messages in thread
From: Dmitry V. Levin @ 2005-06-28 12:19 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 853 bytes --]
On Tue, Jun 28, 2005 at 03:47:30PM +0400, Epiphanov Sergei wrote:
> В сообщении от 28 Июнь 2005 15:11 Dmitry V. Levin написал:
> > On Tue, Jun 28, 2005 at 03:01:08PM +0400, Epiphanov Sergei wrote:
> > > [...] Оказался немного настороже, когда стали переходить на
> > > libdbверсия (libdb1, libdb2, libdb3, libdb4.0, libdb4.1, libdb4.2,
> > > libdb4.3), так как, пересобирая postfix с поддержкой sasl, неоднократно
> > > налетал на несоответствие libdb, с которой собран sasl, и libdb-devel в
> > > системе.
> >
> > Кончились ваши мучения, теперь в Сизифе есть postfix с поддержкой sasl.
>
> А в последней версии исправили ошибку запуска программ, связанных с tls и
> sasl? Эта ошибка сообщалась недавно в Сизифе.
Не знаю, я не тестировал sasl/tls в postfix, поскольку пользуюсь тем
пакетом, который это не поддерживает.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* [sisyphus] Re: mine fields
2005-06-28 11:47 ` [sisyphus] mine fields Epiphanov Sergei
2005-06-28 12:19 ` [sisyphus] postfix-tls Dmitry V. Levin
@ 2005-06-28 13:01 ` Konstantin A. Lepikhov
1 sibling, 0 replies; 41+ messages in thread
From: Konstantin A. Lepikhov @ 2005-06-28 13:01 UTC (permalink / raw)
To: sisyphus
<цитата от="Epiphanov Sergei">
<skip>
>> Кончились ваши мучения, теперь в Сизифе
>> есть postfix с поддержкой sasl.
>
> А в последней версии исправили ошибку
> запуска программ, связанных с tls и
> sasl? Эта ошибка сообщалась недавно в
> Сизифе.
да, автор того сообщения сказал, что
теперь все нормально.
--
WBR et al.
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] Re: Q: perl security, CPAN security
2005-06-28 11:51 ` Epiphanov Sergei
@ 2005-06-28 14:32 ` Andrey Rahmatullin
0 siblings, 0 replies; 41+ messages in thread
From: Andrey Rahmatullin @ 2005-06-28 14:32 UTC (permalink / raw)
To: sisyphus
[-- Attachment #1: Type: text/plain, Size: 941 bytes --]
On Tue, Jun 28, 2005 at 03:51:21PM +0400, Epiphanov Sergei wrote:
> То есть думаете, что руками сможете спокойно вытащить vmware из системы?
Да.
rpm -e vmware
> Вообще-то можно, но зачем Вам изобретать велосипед?
Это штатный велосипед.
> > > vmware-mount.pl
> > Не юзал.
> Мне вообще неизвестно, кто вызывает этот скрипт. Как бы не сама vmware...
Вы уверены, что его кто-то вызывает?
Насколько я помню, это скрипт для монтирования в хост-систему образов
дисков.
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):
> > Посмотрел wmnd, нет определенно wmnet симпатичнее :)
> в wmnd можно щелкнуть по нему и.. посмотрите сами.
Угу -- товарищ Wave++ с энтузиазмом взялся за делание из
велосипеда бритвенного прибора на тахионном ходу с вертикальным
взлётом, вот только в магазинчик за углом ездить стало
действительно неудобнее, чуть не за ту педаль (из двадцати)
дёрнешь...
-- mike in community@
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] Re: Q: perl security, CPAN security
2005-06-28 4:57 ` Andrey Rahmatullin
@ 2005-06-28 14:47 ` Вячеслав Диконов
2005-06-28 18:53 ` Andrey Rahmatullin
0 siblings, 1 reply; 41+ messages in thread
From: Вячеслав Диконов @ 2005-06-28 14:47 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
В Втр, 28/06/2005 в 10:57 +0600, Andrey Rahmatullin пишет:
> On Mon, Jun 27, 2005 at 05:28:52PM +0400, Alexey Tourbin wrote:
> > Так нужно бы сделать vmware.nosrc.rpm
> ftp://ftp.altlinux.ru/pub/people/wrar/vmware/5.0/vmware-5.0.0-alt0.4.1.nosrc.rpm
>
> > и накласть туда всяких патчей.
> Во, Лёш, сам напросился. А ну давай пиши патчи к vmware-config.pl, а тоя
> перла совсем не знаю, а порезать эту гадость надо бы ;)
А "upstream" VMware их включать будет?
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] Re: Q: perl security, CPAN security
2005-06-28 18:53 ` Andrey Rahmatullin
@ 2005-06-28 17:46 ` Вячеслав Диконов
0 siblings, 0 replies; 41+ messages in thread
From: Вячеслав Диконов @ 2005-06-28 17:46 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
В Срд, 29/06/2005 в 00:53 +0600, Andrey Rahmatullin пишет:
> On Tue, Jun 28, 2005 at 06:47:56PM +0400, Вячеслав Диконов wrote:
> > А "upstream" VMware их включать будет?
> Если убедите - будет. Я с ними общаться не намерен.
Я тоже, а также с несовместимой и невменяемой системой.
Так что боюсь, что это изменение может подрезать крылышки моему уже
рабочему проекту русского модуля для XMLTV. В нем имеется строка use
strict, и есть хорошая вероятность, что запускаться он в итоге будет
именно от root.
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] to cat or not to cat
2005-06-28 11:11 ` Dmitry V. Levin
2005-06-28 11:47 ` [sisyphus] mine fields Epiphanov Sergei
@ 2005-06-28 17:58 ` Igor Zubkov
2005-06-28 18:13 ` [sisyphus] [JT] rpm sux Dmitry V. Levin
1 sibling, 1 reply; 41+ messages in thread
From: Igor Zubkov @ 2005-06-28 17:58 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
В сообщении от Вторник, 28-Июн-2005 14:11 Dmitry V. Levin написал(a):
> > Попадал, когда очередная библиотека libdb появилась, начались
> > пересборки в Сизифе с ней, а libdb-devel в моей системе оставался ещё от
> > предыдущей.
>
> Вы не пробовали пожаловаться по этому поводу в Sleepycat software? :)
/me мечтает об rpm от которого оторвали libdb и ввинтили sql...
(грусно) а в cvs уже есть поддержка sqlite.
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] [JT] rpm sux
2005-06-28 17:58 ` [sisyphus] to cat or not to cat Igor Zubkov
@ 2005-06-28 18:13 ` Dmitry V. Levin
2005-06-28 23:31 ` Igor Zubkov
2005-06-29 19:22 ` [sisyphus] Re: [JT] rpm os Michael Shigorin
0 siblings, 2 replies; 41+ messages in thread
From: Dmitry V. Levin @ 2005-06-28 18:13 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 661 bytes --]
On Tue, Jun 28, 2005 at 08:58:29PM +0300, Igor Zubkov wrote:
> В сообщении от Вторник, 28-Июн-2005 14:11 Dmitry V. Levin написал(a):
>
> > > Попадал, когда очередная библиотека libdb появилась, начались
> > > пересборки в Сизифе с ней, а libdb-devel в моей системе оставался ещё от
> > > предыдущей.
> >
> > Вы не пробовали пожаловаться по этому поводу в Sleepycat software? :)
>
> /me мечтает об rpm от которого оторвали libdb и ввинтили sql...
>
> (грусно) а в cvs уже есть поддержка sqlite.
Там много всего есть. Но я мечтаю о том, чтобы этого многого там не было.
Это ведь не менеджер пакетов, а мини-ОС уже получается. :(
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] Re: Q: perl security, CPAN security
2005-06-28 14:47 ` Вячеслав Диконов
@ 2005-06-28 18:53 ` Andrey Rahmatullin
2005-06-28 17:46 ` Вячеслав Диконов
0 siblings, 1 reply; 41+ messages in thread
From: Andrey Rahmatullin @ 2005-06-28 18:53 UTC (permalink / raw)
To: sisyphus
[-- Attachment #1: Type: text/plain, Size: 378 bytes --]
On Tue, Jun 28, 2005 at 06:47:56PM +0400, Вячеслав Диконов wrote:
> А "upstream" VMware их включать будет?
Если убедите - будет. Я с ними общаться не намерен.
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):
Системный журнал предназначен не столько для людей, сколько для ПО,
специализирующегося на анализе системных журналов.
-- ldv in devel@
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] [JT] Re: Q: perl security, CPAN security
@ 2005-06-28 22:25 ` Ivan Adzhubey
0 siblings, 0 replies; 41+ messages in thread
From: Ivan Adzhubey @ 2005-06-28 22:25 UTC (permalink / raw)
To: Денис
Смирнов,
sisyphus
On Tuesday 28 June 2005 06:04 pm, Денис Смирнов wrote:
> On Tue, Jun 28, 2005 at 01:39:22AM -0400, Ivan Adzhubey wrote:
>
> IA> Ой, что делается... А может все же не надо прям так - серпом по ... ?
> Ну мы же IA> интеллигентные люди. Кому надо - и так запустит в taint mode.
> Ведь полсистемы IA> рухнет, и так каждый апгрейд перла - почти катастрофа.
>
> Скрипт на perl, исполняемый под рутом, должен быть в taint mode. Я не хочу
> чтобы у меня в системы были кривые скрипты, работающие от рута.
Так о том и речь: вы не хотите - вас никто и не заставляет. Зачем других
заставлять? За свою систему каждый отвечает сам. Если вы беретесь учить
других жить, то тем самым берете на себя ответственность за результаты. Это
обычно плохо кончается. Вам оно надо? Почитайте на досуге Историю КПСС, т.2.
Вы судя по всему этого в интситуте уже не проходили по молодости, а между тем
- полезное и поучительное чтение.
--
Иван
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] [JT] rpm sux
2005-06-28 18:13 ` [sisyphus] [JT] rpm sux Dmitry V. Levin
@ 2005-06-28 23:31 ` Igor Zubkov
2005-06-29 19:22 ` [sisyphus] Re: [JT] rpm os Michael Shigorin
1 sibling, 0 replies; 41+ messages in thread
From: Igor Zubkov @ 2005-06-28 23:31 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
В сообщении от Вторник, 28-Июн-2005 21:13 Dmitry V. Levin написал(a):
> On Tue, Jun 28, 2005 at 08:58:29PM +0300, Igor Zubkov wrote:
> > В сообщении от Вторник, 28-Июн-2005 14:11 Dmitry V. Levin написал(a):
> > > > Попадал, когда очередная библиотека libdb появилась, начались
> > > > пересборки в Сизифе с ней, а libdb-devel в моей системе оставался ещё
> > > > от предыдущей.
> > >
> > > Вы не пробовали пожаловаться по этому поводу в Sleepycat software? :)
> >
> > /me мечтает об rpm от которого оторвали libdb и ввинтили sql...
> >
> > (грусно) а в cvs уже есть поддержка sqlite.
>
> Там много всего есть. Но я мечтаю о том, чтобы этого многого там не было.
> Это ведь не менеджер пакетов, а мини-ОС уже получается. :(
С учётом того что туда последнее время напихали -- точно!
Вот зачем они запихнули в свой cvs репозиторий libdb, file, bzip2, lua5, neon,
sqlite?!? lua5 я ещё могу понять для чего, но зачем ИМ neon? Что они с его
помощью делают???
Блин, сколько надо недовольных людей что бы отфоркать rpm и гнуть свою
политику?
Список того что мне не нравится:
1) Формат rpm'мок мне просто не нравится. Что бы развернуть rpm'мку приходится
доставать бубен в виде rpm2cpio.sh. В debian куда проще -- это всего лишь ar
архив, развернул и вперёд.
2) Оторвать от него libdb. Если бы это всё хранилось в нормальной sql базе
данных -- было бы куда легче. Законектился к базе и вперёд:
SELECT * from packages; -- получил список пакетов
SELECT 'lib%' from packages; -- получил список библиотек
и так далее...
3) Меня убивает то что rpm не может выполнять какое либо действие после
установки группы пакетов. Простой пример -- это
дёрганье /etc/cron.daily/makewhatis после _всех_ пакет с манами, а не после
каждого.
4) Я просто поражаюсь с того что нормальную морду к rpm спортировали с debian.
Продолжать можно долго -- вот только кому это интересно? ;-(
Радует только оно -- rpm не мне одному не нравится. ;-)
P.S.: Письмо скорее риторическое чем требующее ответа. Хотя можно продолжить -
только не здесь, а где-нибуть в курилке.
^ permalink raw reply [flat|nested] 41+ messages in thread
* [sisyphus] [JT] Re: to cat or not to cat
2005-06-28 10:27 ` [sisyphus] to cat or not to cat Dmitry V. Levin
2005-06-28 11:01 ` Epiphanov Sergei
@ 2005-06-29 19:18 ` Michael Shigorin
2005-06-29 20:25 ` Dmitry V. Levin
1 sibling, 1 reply; 41+ messages in thread
From: Michael Shigorin @ 2005-06-29 19:18 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 273 bytes --]
On Tue, Jun 28, 2005 at 02:27:01PM +0400, Dmitry V. Levin wrote:
> $ cat ~/bin/L
> #!/bin/sh
> exec less -L "$@"
Какой красивый алиас. :) Или дело как раз в "$@"?
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* [sisyphus] Re: [JT] rpm os
2005-06-28 18:13 ` [sisyphus] [JT] rpm sux Dmitry V. Levin
2005-06-28 23:31 ` Igor Zubkov
@ 2005-06-29 19:22 ` Michael Shigorin
1 sibling, 0 replies; 41+ messages in thread
From: Michael Shigorin @ 2005-06-29 19:22 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 471 bytes --]
On Tue, Jun 28, 2005 at 10:13:36PM +0400, Dmitry V. Levin wrote:
> > (грусно) а в cvs уже есть поддержка sqlite.
> Там много всего есть. Но я мечтаю о том, чтобы этого многого
> там не было. Это ведь не менеджер пакетов, а мини-ОС уже
> получается. :(
Ага. С вполне себе мини-требованиями к *ресурсам*...
home:~> du -sh /var/lib/rpm
50M /var/lib/rpm
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* Re: [sisyphus] [JT] Re: to cat or not to cat
2005-06-29 19:18 ` [sisyphus] [JT] Re: to cat or not to cat Michael Shigorin
@ 2005-06-29 20:25 ` Dmitry V. Levin
2005-07-01 15:39 ` [sisyphus] " Alexey Tourbin
0 siblings, 1 reply; 41+ messages in thread
From: Dmitry V. Levin @ 2005-06-29 20:25 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 297 bytes --]
On Wed, Jun 29, 2005 at 10:18:41PM +0300, Michael Shigorin wrote:
> On Tue, Jun 28, 2005 at 02:27:01PM +0400, Dmitry V. Levin wrote:
> > $ cat ~/bin/L
> > #!/bin/sh
> > exec less -L "$@"
>
> Какой красивый алиас. :) Или дело как раз в "$@"?
Алиас в xargs не засунешь. :)
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
* [sisyphus] Re: [JT] Re: to cat or not to cat
2005-06-29 20:25 ` Dmitry V. Levin
@ 2005-07-01 15:39 ` Alexey Tourbin
0 siblings, 0 replies; 41+ messages in thread
From: Alexey Tourbin @ 2005-07-01 15:39 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 688 bytes --]
On Thu, Jun 30, 2005 at 12:25:05AM +0400, Dmitry V. Levin wrote:
> On Wed, Jun 29, 2005 at 10:18:41PM +0300, Michael Shigorin wrote:
> > On Tue, Jun 28, 2005 at 02:27:01PM +0400, Dmitry V. Levin wrote:
> > > $ cat ~/bin/L
> > > #!/bin/sh
> > > exec less -L "$@"
> >
> > Какой красивый алиас. :) Или дело как раз в "$@"?
> Алиас в xargs не засунешь. :)
В zsh есть zargs.
$ autoload zargs
$ which zargs |head -1
zargs () {
$ lastchange() { rpm -qp --lastchange "$@"; }
$ lastchange ~sisyphus/files/SRPMS/*.rpm
lastchange: argument list too long: rpm
$ zargs -- ~sisyphus/files/SRPMS/*.rpm -- lastchange |head -1
* Thu Jan 09 2003 Rider <rider@altlinux> 0.80-alt4
$
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 41+ messages in thread
end of thread, other threads:[~2005-07-01 15:39 UTC | newest]
Thread overview: 41+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-06-26 9:06 [sisyphus] Q: perl security, CPAN security Alexey Tourbin
2005-06-27 7:30 ` Epiphanov Sergei
2005-06-27 7:48 ` [sisyphus] " Alexey Tourbin
2005-06-27 7:57 ` Alexey Tourbin
2005-06-27 9:03 ` Epiphanov Sergei
2005-06-27 9:53 ` Alexey Tourbin
2005-06-27 10:55 ` Epiphanov Sergei
2005-06-27 11:29 ` Alexey Tourbin
2005-06-27 12:04 ` Epiphanov Sergei
2005-06-27 12:11 ` Epiphanov Sergei
2005-06-27 12:13 ` Epiphanov Sergei
2005-06-27 12:58 ` Alexey Tourbin
2005-06-27 13:11 ` [sisyphus] [JT] " Michael Shigorin
2005-06-28 5:39 ` Ivan Adzhubey
2005-06-28 5:55 ` [sisyphus] " Alexey Tourbin
2005-06-28 22:25 ` [sisyphus] " Ivan Adzhubey
2005-06-27 13:14 ` [sisyphus] " Epiphanov Sergei
2005-06-27 13:28 ` Alexey Tourbin
2005-06-28 4:57 ` Andrey Rahmatullin
2005-06-28 14:47 ` Вячеслав Диконов
2005-06-28 18:53 ` Andrey Rahmatullin
2005-06-28 17:46 ` Вячеслав Диконов
2005-06-28 7:51 ` Epiphanov Sergei
2005-06-28 9:56 ` Andrey Rahmatullin
2005-06-28 11:51 ` Epiphanov Sergei
2005-06-28 14:32 ` Andrey Rahmatullin
2005-06-28 9:29 ` Dmitry V. Levin
2005-06-28 10:17 ` Epiphanov Sergei
2005-06-28 10:27 ` [sisyphus] to cat or not to cat Dmitry V. Levin
2005-06-28 11:01 ` Epiphanov Sergei
2005-06-28 11:11 ` Dmitry V. Levin
2005-06-28 11:47 ` [sisyphus] mine fields Epiphanov Sergei
2005-06-28 12:19 ` [sisyphus] postfix-tls Dmitry V. Levin
2005-06-28 13:01 ` [sisyphus] Re: mine fields Konstantin A. Lepikhov
2005-06-28 17:58 ` [sisyphus] to cat or not to cat Igor Zubkov
2005-06-28 18:13 ` [sisyphus] [JT] rpm sux Dmitry V. Levin
2005-06-28 23:31 ` Igor Zubkov
2005-06-29 19:22 ` [sisyphus] Re: [JT] rpm os Michael Shigorin
2005-06-29 19:18 ` [sisyphus] [JT] Re: to cat or not to cat Michael Shigorin
2005-06-29 20:25 ` Dmitry V. Levin
2005-07-01 15:39 ` [sisyphus] " Alexey Tourbin
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git