vine-users ML アーカイブ



[vine-users:068675] Re: /tmp の permissions (was Re: Linuxの常識を教えてくだ さい)

  • From: IKEDA Katsumi <ikedak@xxxxxxxxxxxxxxxx>
  • Subject: [vine-users:068675] Re: /tmp の permissions (was Re: Linuxの常識を教えてくだ さい)
  • Date: Fri, 19 Nov 2004 05:14:58 +0900 (JST)
池田です。

From: Daigoro Toyama <dtoyama@xxxxxxxxxxxxx>
Date: Thu, 18 Nov 2004 11:19:19 -0800
> On Thursday 18 November 2004 08:43 am, OOSATO,Kazzrou wrote:
> > 大里です。
> >
> >   /tmp が 777 だったら大事件です。sticky bit は必ず立ててください。
> >   そうでないと、作業中のソースコード等に細工されたら、簡単に権限を
> > 奪取されてしまいます。
> 
> /tmp はデフォルトで 777 になっているような気がします。今 Vine を立ち上げて
> いませんが、Turbolinux 10 Desktop では 777 になっています。sticky bit とは何
> でしょう? 安全にかかわる問題であればすぐにでも変えたいと思います。

Vine Linux 3.0 の場合。
  $ ls -ld /tmp
  drwxrwxrwt   15 root     root         2048 Nov 19 04:49 /tmp/

Debian GNU/Linux 3.0 の場合。
  $ ls -ld /tmp
  drwxrwxrwt    4 root     root         4096 Nov 18 06:27 /tmp

単純に全てのユーザに読み込み/書き込みを許すディレクトリの
設定はとても危険なので、システム全体で原則禁止にすべきでしょう。
特に /tmp に作られるファイルのアクセス権などの不備はセキュリティの
欠陥として攻撃対象になります。

JF の Linux Security HOWTO を読むと良いでしょう。
http://www.linux.or.jp/JF/JFdocs/Security-HOWTO-5.html

sticky bit も含めたファイルのパーミッションについては
5.2 章に書かれています。
http://www.linux.or.jp/JF/JFdocs/Security-HOWTO-5.html#ss5.2

-- 
池田 克巳  <ikedak@xxxxxxxxxxxxxxxx>
           <http://www013.upp.so-net.ne.jp/ikeda/index.html>