chown / opt / local

2

È sicuro (senza implicazioni sulla sicurezza) su chown -R user /opt/local/ , così che non lo faccio sudo port install con MacPorts?

Non mi piace l'idea di sudo con MacPorts in quanto può scrivere cose in / Library, ad esempio, senza il mio permesso. So che potrei usare homebrew invece di MacPorts ma ho avuto problemi con la scrittura di software di terze parti in /usr/local . Potrei anche compilare MacPorts con un prefisso personalizzato nella mia home directory, ma suppongo che sia lo stesso con /opt/local/ , in quanto /opt/local/ non è una directory di sistema.

    
posta heaptobesquare 03.09.2013 - 21:16
fonte

2 risposte

4

Se si desidera utilizzare un'installazione MacPorts non root, sarà necessario configurare l'installazione per farlo installando dal sorgente e specificando --with-no-root-privileges come argomento su ./configure . Non che tu possa dover impostare anche --prefix , se vuoi farlo.

Ti incoraggerei a non farlo, per un paio di motivi, però:

  • Le directory elencate in $ PATH di più utenti che sono scrivibili senza privilegi di superutente possono essere utilizzate per gli attacchi (ad es. posizionando un binario sudo che registrerà la password lì). Lo stesso può essere fatto da un software dannoso in esecuzione come utente per ottenere la password, anche se si potrebbe obiettare che è già troppo tardi quando ciò accade.
  • MacPorts non può utilizzare la separazione dei privilegi senza privilegi di root. Normalmente, MacPorts lascerà i privilegi a un utente "macport" non privilegiato mentre costruisce software per evitare che i Makefile canaglia distruggano (o addirittura leggano i file) nel tuo $ HOME.
  • MacPorts a partire dalla versione 2.2 utilizza le funzionalità di sandbox di OS X per impedire alle porte di installare file all'esterno delle posizioni che MacPorts incoraggia. Queste posizioni predefinite sono:
    • /opt/local
    • /Applications/MacPorts
    • /Library/LaunchDaemons/
    • alcune posizioni necessarie per il funzionamento di alcune porte speciali, ad esempio /usr/lib/pam per i moduli PAM.

Quindi, in conclusione, penso che l'installazione di MacPorts utilizzando i privilegi di root sia in realtà più sicura e sicura di quella che non li utilizza.

Dichiarazione di non responsabilità: poiché sono uno sviluppatore MacPorts, potrei essere di parte.

    
risposta data 26.10.2013 - 13:06
fonte
0

Questo è sicuro fino al punto in cui scegli di installare qualcosa all'interno di / opt

A quel punto, è più importante quali programmi si installano lì e quali permessi e bit sticky si sono impostati. In generale, si tratta di un compromesso equo se si limita in altro modo l'accesso al computer, ma ogni volta che si lascia che un utente scriva direttamente in un posto dove verranno memorizzati i programmi, si rischia l'escalation dei privilegi e problemi di sicurezza se i programmi possono essere sfruttati o avere porte sul retro o semplicemente distruttive a causa del loro design.

    
risposta data 03.09.2013 - 21:26
fonte

Leggi altre domande sui tag