Ersatz fuer perl-suid?

Hallo,

Debian Linux bringt eine Package perl-suid mit, mit der man
perl-Scripte mit erhöhten Privilegien laufen lassen kann. Ich benutze
das relativ ausgiebig, damit ich mir nicht auf jedem System mit sudo
einen abbrechen muss.

Nun steht in der Paketbeschreibung, dass die Benutzung dieses Pakets
"strongly deprecated" ist und das es mit perl 5.10 verschwinden wird.

Gibt es andere Wege, um korrekte Behandlung des suid-Bits für
Perl-Scripts zu erreichen?

Grüße
Marc

--=20
-------------------------------------- !! No courtesy copies, please !! =
-----
Marc Haber | " Questions are the | Mailadresse im =
Header
Mannheim, Germany | Beginning of Wisdom " | =
http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 =
72739834

Re: Ersatz fuer perl-suid?

Marc Haber wrote:
>
> Gibt es andere Wege, um korrekte Behandlung des suid-Bits für
> Perl-Scripts zu erreichen?

C-Wrapper, der perl im Taint-Mode aufruft.

Grüße
Frank
--
Dipl.-Inform. Frank Seitz; http://www.fseitz.de/
Anwendungen für Ihr Internet und Intranet
Tel: 04103/180301; Fax: -02; Industriestr. 31, 22880 Wedel

Re: Ersatz fuer perl-suid?

=46rank Seitz wrote:
>Marc Haber wrote:
>> Gibt es andere Wege, um korrekte Behandlung des suid-Bits für
>> Perl-Scripts zu erreichen?
>
>C-Wrapper, der perl im Taint-Mode aufruft.

Ist perl-suid nicht genau sowas? Jedenfalls läuft perl danach im
Taint-Modus.

Grüße
Marc

--=20
-------------------------------------- !! No courtesy copies, please !! =
-----
Marc Haber | " Questions are the | Mailadresse im =
Header
Mannheim, Germany | Beginning of Wisdom " | =
http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 =
72739834

Re: Ersatz fuer perl-suid?

Marc Haber wrote:
> Frank Seitz wrote:
>>Marc Haber wrote:
>>
>>>Gibt es andere Wege, um korrekte Behandlung des suid-Bits für
>>>Perl-Scripts zu erreichen?
>>
>>C-Wrapper, der perl im Taint-Mode aufruft.
>
> Ist perl-suid nicht genau sowas? Jedenfalls läuft perl danach im
> Taint-Modus.

Lies Dir in perlsec mal den Abschnitt "Security Bugs" durch,
da ist auch ein C-Wrapper für suid/sgid-Skripte beschrieben.
Weiter oben steht, dass Perl automatisch in den Taint-Mode geht,
wenn real- und effectiv-uid oder -gid differieren, darum
brauchst Du Dich also nicht zu kümmern.

Grüße
Frank
--
Dipl.-Inform. Frank Seitz; http://www.fseitz.de/
Anwendungen für Ihr Internet und Intranet
Tel: 04103/180301; Fax: -02; Industriestr. 31, 22880 Wedel

Re: Ersatz fuer perl-suid?

=46rank Seitz wrote:
>Marc Haber wrote:
>> Frank Seitz wrote:
>>>Marc Haber wrote:
>>>
>>>>Gibt es andere Wege, um korrekte Behandlung des suid-Bits für
>>>>Perl-Scripts zu erreichen?
>>>
>>>C-Wrapper, der perl im Taint-Mode aufruft.
>>=20
>> Ist perl-suid nicht genau sowas? Jedenfalls läuft perl danach im
>> Taint-Modus.
>
>Lies Dir in perlsec mal den Abschnitt "Security Bugs" durch,
>da ist auch ein C-Wrapper für suid/sgid-Skripte beschrieben.
>Weiter oben steht, dass Perl automatisch in den Taint-Mode geht,
>wenn real- und effectiv-uid oder -gid differieren, darum
>brauchst Du Dich also nicht zu kümmern.

Ich glaube, wir reden hier aneinander vorbei.

In perlsec steht, dass es Systeme gibt, die das suid-bit auf Scripten
komplett verbieten, und dass es Systeme gibt, die das suid-bit auf
Scripten ignorieren. Linux gehört offensichtlich zur letzteren Gruppe,
und suidperl wird benutzt, um das Script korrekt zu handhaben.

Den darauf folgenden Absatz mit dem C-Wrapper interpretiere ich so,
als ob der hier notwendig ist, wenn der Kernel die im ersten Absatz
beschrieben Racecondition hat, was für Linux offensichtlich nicht der
=46all ist.

Bleibt die ursprünligliche Frage: suidperl wird mit perl 5.10
verschwinden. Wie mache ich dann suid-scripts?

Grüße
Marc

--=20
-------------------------------------- !! No courtesy copies, please !! =
-----
Marc Haber | " Questions are the | Mailadresse im =
Header
Mannheim, Germany | Beginning of Wisdom " | =
http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 =
72739834

Re: Ersatz fuer perl-suid?

Marc Haber wrote:
> Frank Seitz wrote:
>>
>>Lies Dir in perlsec mal den Abschnitt "Security Bugs" durch,
>>da ist auch ein C-Wrapper für suid/sgid-Skripte beschrieben.
>>Weiter oben steht, dass Perl automatisch in den Taint-Mode geht,
>>wenn real- und effectiv-uid oder -gid differieren, darum
>>brauchst Du Dich also nicht zu kümmern.
>
> Ich glaube, wir reden hier aneinander vorbei.
>
> In perlsec steht, dass es Systeme gibt, die das suid-bit auf Scripten
> komplett verbieten, und dass es Systeme gibt, die das suid-bit auf
> Scripten ignorieren. Linux gehört offensichtlich zur letzteren Gruppe,
> und suidperl wird benutzt, um das Script korrekt zu handhaben.

Richtig.

> Den darauf folgenden Absatz mit dem C-Wrapper interpretiere ich so,
> als ob der hier notwendig ist, wenn der Kernel die im ersten Absatz
> beschrieben Racecondition hat, was für Linux offensichtlich nicht der
> Fall ist.

Das interpretierst Du falsch. Linux ignoriert die S-Bits auf
Skripten deshalb, weil es das Problem hat.

> Bleibt die ursprünligliche Frage: suidperl wird mit perl 5.10
> verschwinden. Wie mache ich dann suid-scripts?

Ich bleibe dabei: Z.B. mit dem dort beschriebenen Wrapper.
Wenn Dir das nicht einleuchtet, fehlt Dir vielleicht
Grundlagenwissen, das dort in der Tat nicht steht.

Grüße
Frank
--
Dipl.-Inform. Frank Seitz; http://www.fseitz.de/
Anwendungen für Ihr Internet und Intranet
Tel: 04103/180301; Fax: -02; Industriestr. 31, 22880 Wedel

Re: Ersatz fuer perl-suid?

=46rank Seitz wrote:
>Wenn Dir das nicht einleuchtet, fehlt Dir vielleicht
>Grundlagenwissen, das dort in der Tat nicht steht.

Dann erklär mir das bitte mal. Ich arbeite erst seit 1998 mit Linux.

Grüße
Marc

--=20
-------------------------------------- !! No courtesy copies, please !! =
-----
Marc Haber | " Questions are the | Mailadresse im =
Header
Mannheim, Germany | Beginning of Wisdom " | =
http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 =
72739834

Re: Ersatz fuer perl-suid?

Marc Haber wrote:
> Frank Seitz wrote:
>>
>>Wenn Dir das nicht einleuchtet, fehlt Dir vielleicht
>>Grundlagenwissen, das dort in der Tat nicht steht.
>
> Dann erklär mir das bitte mal. Ich arbeite erst seit 1998 mit Linux.

Ich hoffe, folgende Nutzungsanleitung erklärt es.

Gegeben Perl-Programm p, das setuid u setgid g laufen soll.
So wird dies mit dem normalen perl und dem C-Wrapper erreicht:

# mv p p.pl
# cp wrapper p
# chown u.g p
# chmod ug+s p

(ungetestet)

Grüße
Frank
--
Dipl.-Inform. Frank Seitz; http://www.fseitz.de/
Anwendungen für Ihr Internet und Intranet
Tel: 04103/180301; Fax: -02; Industriestr. 31, 22880 Wedel

Re: Ersatz fuer perl-suid?

=46rank Seitz wrote:
>Ich hoffe, folgende Nutzungsanleitung erklärt es.

Darum geht's mir nicht. Ich behaupte, suidperl sei genau so ein
Wrapper. Und ich sehe den Unterschied zu einem selbst geschriebenen
Wrapper nicht.

Grüße
Marc

--=20
-------------------------------------- !! No courtesy copies, please !! =
-----
Marc Haber | " Questions are the | Mailadresse im =
Header
Mannheim, Germany | Beginning of Wisdom " | =
http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 =
72739834

Re: Ersatz fuer perl-suid?

Marc Haber wrote:
> Frank Seitz wrote:
>>
>>Ich hoffe, folgende Nutzungsanleitung erklärt es.
>
> Darum geht's mir nicht.

Hm, deine Frage war: "Wie mache ich suid-scripts?"

> Ich behaupte, suidperl sei genau so ein
> Wrapper. Und ich sehe den Unterschied zu einem selbst geschriebenen
> Wrapper nicht.

Dann hast du nicht verstanden, was suidperl macht.
Das kannst du woanders nachlesen, das muss ich dir hier
nicht aufschreiben, oder?

Grüße
Frank
--
Dipl.-Inform. Frank Seitz; http://www.fseitz.de/
Anwendungen für Ihr Internet und Intranet
Tel: 04103/180301; Fax: -02; Industriestr. 31, 22880 Wedel

Re: Ersatz fuer perl-suid?

=46rank Seitz wrote:
>Dann hast du nicht verstanden, was suidperl macht.
>Das kannst du woanders nachlesen, das muss ich dir hier
>nicht aufschreiben, oder?

| suidperl is a setuid root helper program which is invoked by perl when
| executing scripts with setuid/gid bits set on systems (like linux) =
which don't
| have support setuid script execution natively in the kernel.

Das klingt für mich nach einem Wrapper.

Grüße
Marc

--=20
-------------------------------------- !! No courtesy copies, please !! =
-----
Marc Haber | " Questions are the | Mailadresse im =
Header
Mannheim, Germany | Beginning of Wisdom " | =
http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 =
72739834

Re: Ersatz fuer perl-suid?

Post removed (X-No-Archive: yes)