[FDclone-users:00100] Re: TMPDIR setting (Re: Re: Debian パッケージ作成中)

[Takashi SHIRAI <shirai@unixusers.net>]

　しらいです。

In Message-Id <200302111436.h1BEZqTF028287@mail502.nifty.com>
        Taketoshi Sano <sano@debian.org>さんwrites:
> 佐野＠浜松です。

> > > 一時ファイル/ディレクトリの扱いについてですが、やはり fdclone を
> > > 利用中のユーザが閲覧中のアーカイブ中のファイルの中身を、
> > > 無関係な他のローカルユーザに読まれてしまうのは避けたいと考えて、
> 
> この件について、他の fdclone ユーザーの方や、あるいは他の
> OS あるいはディストリビューションでパッケージを作成されて
> いる方からの御意見があるかなと思って期待していたのですが、
> 反応が無いみたいですね、、、

　運用で幾らでも逃げようがありますからね。また、そもそもユー
ザアプリにそれほど神経質になる必要があるのかどうかという話も
あるでしょう。
　個人的な意見としては、神経質な人は比較的技術知識もあるでし
ょうから運用で逃げて貰うとして、そうでない人については、堅牢
性よりも利便性を重視した方がいいんじゃないかと思います。


>  Ver 2.00a でも設定ファイルに TMPDIR=$HOME と umask 077 を
> 書いておけば「アーカイブ内のファイルを閲覧する際、一時ファイル
> として展開されているそのファイルの中身が world readable で
> 公開されてしまう、という問題に対処できると考えて良いのでしょうか ?

　umask は umask(2) を用いて実装されていますので、kernel に
bug がない限りは常に go-rwx な file & directory が作成される
筈です。
　但し、tar 等の archiver 側で umask() を独自に実行していた
場合には一時 directory 以下の各 file の permission はそれに
従うことになります。chmod() していた場合も同様。
　また、tmporary もの以外の全ての生成 file & directory に対
して umask = 077 が適用されますので、意図的に directory 作成
や archive 展開を行なった時にも軒並 go-rwx な permission で
作成されてしまいます。

　また、TMPDIR の設定については、$HOME の permission に依存
しますので、元々 $HOME が go-rwx になっていれば TMPDIR の設
定だけで効果があるでしょうが、そうでなければ TMPDIR の設定自
体には隠匿効果は期待出来ません。
　この辺りの状況は OS の policy にも依存するでしょうから、一
概にどうこう言うことは出来ないと思います。Debian の $HOME は
go-rwx されているんでしたっけ？


> 考えてみれば fdsh を単体のシェルとして使うという場合も無い
> とは言えないですね。デフォルトの設定として umask 077 を
> 追加しておけば、利用者が自分で設定を変更しない限りアーカイブ中の
> ファイルを「覗き見」される危険も無くなるのなら、そちらにしようと
> 思います。

　2.00 以降の FDclone は /etc/shells に書けるくらいの shell
にしたいと思ってますので、login shell として用いた場合に不都
合があるようでは困ると思います。
　temporary directory の permission について懸念する意見が大
きいようでしたら、temporary directory 専用の umask コマンド
を設けて、temporary directory のみ go-rwx 出来るような枠組を
用意することも検討しますが、他の方の意見はどうでしょう？

                                               しらい たかし