Am 15.10.2014 22:26, schrieb Stephan von Krawczynski:
On Wed, 15 Oct 2014 19:41:02 +0200 Peter Geerds
wrote:
... snipp mal diese ganze Befindlichkeitskiste... "RTFM" ist heutzutage auch schon ein recht flauer
Rat angesichts der komplett verworrenen Dokumentation von Perl in der man es durch eine Vielzahl nichtssagender Querverweise geschafft hat viel Text zu produzieren ohne eine Antwort zu formulieren.
... das Ergebnis ist doch nun wirklich klar: Perl kann das nicht mehr, will das nicht mehr können. Der Grund ist wahrscheinlich trivial: niemand von den Entwicklern will so eine Risikokiste noch pflegen. Wenn Du (Stephan) es unbedingt willst, wird Dich niemand daran hindern, einen Fork aufzumachen, wie wärs mit OpenPerl ;-)
Hinsichtlich der Originalfrage meinerseits kann man am Ende per Google nur eines finden, naemlich dass ein tatsaechliches Argument gegen das fruehere suidperl effektiv nicht vorhanden ist weil schon in 50% der Artikel darueber mehrere Moeglichkeiten erklaert werden wie man die anfaengliche theoretische Luecke in recht einfacher Weise schliessen koennte wenn man wollte, was man nicht wollte. Klassisches Perl: Ideologie siegt ueber Anwendung.
Ich, dessen Kenntnisse von Perl (und von vielen anderen Dingen in Linux auch nach 25 Jahren Unix/Linux-Praxis) recht begrenzt sind, bin dankbar wenn Sicherheits-Ideologie über Feature-Fanatismus siegt. Es macht meinen Job einfacher.
Die irgendwo vorgeschlagene Variante eine Kopie der perl-Binary per suid selbst root-Rechte zu geben ist eher so etwas wie ein Sargnagel fuer jegliche Sicherheit.
Nein, der Unterschied zwischen suidperl und einem /usr/bin/perl mit s-Bit ist am Ende minimal und verschwindet mit der zunehmenden Komplexität und Menge der Perl-Module wohl ganz.
Die Variante mit sudo funktioniert nach meinem Test nur auf dem Papier weil sudo ganz offensichtlich nicht dazu zu bewegen ist unbekannte UIDs zuzulassen,
was sind "unbekannte" UIDs??? Ansonsten ist hier einfach die "Härte gegen sich selbst" beim RTFM von sudo angesagt...
jedenfalls scheiterten meine Versuche immer in der klassischen "who are you?" Fehlermeldung von sudo. Es ist halt im Kern eher ein interaktives Tool.
/etc/sudoers ist in etwa das Gegenteil eines interaktiven tools ...
Ganz trivial scheint die Frage jedenfalls nicht zu sein weil sich abseits von Beschimpfung und wertloser "RTFM" bisher nichts konkretes als Antwort gefunden hat.
Vielleicht, weil das, was Du willst, eben eher speziell ist, und die meisten einen anderen Weg dafür gefunden haben...? Ich kenne qmail nicht, aber so ganz sicher bin ich mir nicht, ob ich verstehe, warum scripte eines Mailservers als root laufen müssen. Ich würde auf so etwas lieber verzichten... cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org