ruby-dev

In article <20011109221222Y.nagai@ai.kyutech.ac.jp>,
  nagai@ai.kyutech.ac.jp writes:

> あえて setreuid を使わずに実装するのであれば，
> そのことで実現できなくなる状態が，
> アプリケーション作成上不要であること，
> あるいは，セキュリティ面等からできるべきでないこと
> を示さねばならないのではないかと思います．
> 
> 私としては，これらを示すことができなかったので
> 実現できる状態の確保を優先させました．

私は、Process.uid=, Process.euid= という API は捨てるべきだと思ってい
ます。(非推奨、ということです。べつに消せとはいいません。)

私は Programming Perl で ($<,$>) = ($>,$<); が setreuid を呼び出すとい
う記述を見て非常に大きな違和感を感じた人間なので、同じように 2つの独立
した変数を想起させる Process.uid=, Process.euid= にも同様な違和感を覚
えます。

具体的には、

In article <20010906174440D.nagai@ai.kyutech.ac.jp>,
  nagai@ai.kyutech.ac.jp writes:

> # 統一しなくてもいいのなら，極論としては，
> # setuid や setreuid など，すべてを用意するだけ用意して，
> # それが存在しない環境では例外発生というのでも
> # いいってことになりますよね．(^_^)

という極論を提供し、さらに、良く使われるであろう 2つの用途

* 権限の完全放棄(setuid)
* 権限の一時放棄(seteuid ないしは setreuid)

について統一した API を実装するライブラリを提供するのがいいだろう、と
思っています。

また、権限の一時放棄で setreuid を使う場合は、exec を行なうするメソッ
ドにも手を入れて、exec 後に権限が残らないような方法を提供するのがいい
だろうと思っています。つまり「詳解 UNIX プログラミング」の UUCP の例の
「execする前に実ユーザ ID を普通のユーザ ID に設定する必要がある」とい
うところを自動的にやろう、というわけですが。

suid-ruby に setreuid - それも SUSv2 からは読みとれないような仕様のや
つ - が必要なのはそれはそうなのでしょう。しょうがないので使うしかない
と思います。ただ、それが意図した挙動になっているかどうかはちゃんと確認
したいところですし、ついでにいえば setresuid があるならそちらを使いた
いですね。

また、私はこういう話は自明なくらいがちょうどいい、と思っています。なん
せセキュリティの話ですから、比較的簡単に正しさが納得できるのが望ましい
というわけです。つまり、長々と思考過程を書かないと議論できないような仕
様は個人的にはそれだけで失格です。このような観点から見ると、私の案は

  (極論を実装することにより)実行可能なことが C と同じになる。
  これにより C でのセキュリティの議論・考察が再利用できる。

という利点があります。
-- 
[田中 哲][たなか あきら][Tanaka Akira]
「ふえろ! わかめちゃん作戦です$(C⊇」(Little Worker, 桂遊生丸)

Thread

Prev Next

In This Thread

Prev Next