| View previous topic :: View next topic |
| Author |
Message |
rb34
Guru
Joined: 03 Oct 2004
Posts: 361
Location: Rome, italy
|
 Posted: Sat Jun 09, 2007 2:26 pm Post subject: tmp noexec è bello |
 |
|
stavolta non posto un problema o una domanda ma una soluzione 
Avevo messo la /tmp npexec come consigliato per sicurezza, ma per non sprecare spazio disco facevo puntare /var/tmp a /tmp. Però emerge poi non compilava più perché usava la /var/tmp che era quindi noexec. In quel momento ho capito a cosa serve una /var/tmp diversa da /tmp...
_________________
rb |
|
| Back to top |
|
 |
Ic3M4n
Advocate
Joined: 02 Nov 2004
Posts: 3489
Location: Bergamo.
|
| Posted: Sat Jun 09, 2007 2:48 pm Post subject: |
|
|
| domanda: cosa intendi con "non sprecare spazio disco?" i file che avevi in /tmp li hai in /var/tmp e nulla più. non ci vedo alcun guadagno in spazio facendo una cosa del genere. |
|
| Back to top |
|
|
rb34
Guru
Joined: 03 Oct 2004
Posts: 361
Location: Rome, italy
|
| Posted: Sat Jun 09, 2007 2:54 pm Post subject: |
|
|
| Ic3M4n wrote: | | domanda: cosa intendi con "non sprecare spazio disco?" i file che avevi in /tmp li hai in /var/tmp e nulla più. non ci vedo alcun guadagno in spazio facendo una cosa del genere. |
perché ho tmp e var su due partizioni diverse, e allora dovevo tenere dello spazio libero (magari anche consistente) per una e per l'altra, e allora mi ero detto "perché non avere solo una dir temporanea"? ecco la risposta è la possibilità di noexec, che peraltro si può usare solo se uno ha un tmp su partizione dedicata come ho io
_________________
rb |
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Sat Jun 09, 2007 4:35 pm Post subject: |
|
|
Alcune applicazioni usano /tmp per eseguirci sopra file...
In pratica ne conosco solo una: apt usa /tmp per lanciare degli script di autoconfigurazione durante l'installazione dei pacchetti.
Visto che immagino tu non stia usando debian dovresti essere a posto
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Sat Jun 09, 2007 5:19 pm Post subject: |
|
|
/tmp è per i file temporanei che non devono essere conservati tra un riavvio e l'altro (ovvero in ambiti di sicurezza più seri viene sempre cancellata in automatico) /var/tmp per gli altri, ed è per questo che la si può sbattere in ram (se poi usi tmp per il backup e ti servono 40/50GB per forza ti arrangi a tenerla su disco).
Usare /var/tmp per contenere /tmp è accettabile, l'inverso no.
Quanto al mount noexec in genere visto che viene resettata automaticamente qualsiasi programma unix se deve creare uno script da eseguire in un secondo tempo lo fa in quella e non i /var.
Se vuoi star tranquilllo creati un demone (anche con un semplice script via find&fuser) per ripulirla ed attiva l'opzione in conf.d/rc o rc.conf non ricordo.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est 
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
randomaze
Bodhisattva
Joined: 21 Oct 2003
Posts: 9985
|
| Posted: Mon Jun 11, 2007 8:20 am Post subject: |
|
|
Direi che state discutendo.... 
Moved from Forum italiano (Italian) to Forum di discussione italiano.
_________________
Ciao da me! |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Mon Jun 11, 2007 9:57 am Post subject: |
|
|
| djinnZ wrote: | /tmp è per i file temporanei che non devono essere conservati tra un riavvio e l'altro (ovvero in ambiti di sicurezza più seri viene sempre cancellata in automatico) /var/tmp per gli altri
....
Usare /var/tmp per contenere /tmp è accettabile, l'inverso no. |
ecco, questo è un argomento che mi piacerebbe discutere.
non ho mai trovato convincenti le motivazioni portate per differenziare /tmp e /var/tmp.
confesso che mi è sempre sfuggito il concetto di files più o meno temporanei di altri , così come
quello relativo ai "files temporanei che devono essere preservati dopo un ravvio".
il mio punto di vista, semplificato, è il seguente: o un file è temporaneo o non lo è.
se un file dev'essere preservato, imho, non è temporaneo.
_________________
When all else fails, read the instructions. |
|
| Back to top |
|
|
rb34
Guru
Joined: 03 Oct 2004
Posts: 361
Location: Rome, italy
|
| Posted: Mon Jun 11, 2007 2:57 pm Post subject: |
|
|
| makoomba wrote: |
il mio punto di vista, semplificato, è il seguente: o un file è temporaneo o non lo è.
se un file dev'essere preservato, imho, non è temporaneo. |
per me i file temporanei di tmp e var/tmp sono temporanei allo stesso modo.
Ma credo che in effetti l'unica distinzione stia sulla possibilità di noexec.
Per esempio apache e php da me usavano /tmp, e ho visto numerosi hacker che tentavano l'esecuzione di loro script in /tmp sfruttando eventuali vulnerabilità.
Se la vulnerabilità ci fosse stata, quegli script in /tmp non sarebbero comunque stati eseguiti grazie al noexec.
Allo stesso tempo avendo var/tmp normale, cioè senza noexec, potevo far compilare i pacchetti
Per il resto, uso tmp solo come temporanea, ma se ti metti a compilare firefox o magari addirittura openoffice ne serve una bella grossa (sono legato ancora a dimensioni di vecchio tipo... la mia tmp è 1 giga)
_________________
rb |
|
| Back to top |
|
|
neryo
Veteran
Joined: 09 Oct 2004
Posts: 1292
Location: Ferrara, Italy, Europe
|
| Posted: Mon Jun 11, 2007 7:26 pm Post subject: |
|
|
| rb34 wrote: |
per me i file temporanei di tmp e var/tmp sono temporanei allo stesso modo.
|
in realtá no.. i file che vanno in /tmp possono essere cancellati diciamo senza preavviso e senza causare problemi al sistema e ai programmi... invece in /var/tmp questa cosa se la fai cambi lo stato di alcune applicazione che stanno runnando.. la differenza é sostanzialmente secondo me questa!
| rb34 wrote: |
Per esempio apache e php da me usavano /tmp, e ho visto numerosi hacker che tentavano l'esecuzione di loro script in /tmp sfruttando eventuali vulnerabilità.
Se la vulnerabilità ci fosse stata, quegli script in /tmp non sarebbero comunque stati eseguiti grazie al noexec.
|
quoto.. é buona cosa nei server web mettere noexec per evitare problemi di esecuzione di brutte cose..
ho visto un server finire molto male per colpa di un script php di un niubbo che includeva un variabile passata in GET, secca nel codice.. pensate voi.. cosi il malintenzionato includeva quello che voleva!
_________________
cache: a safe place for hiding or storing things..
D-link DWL-G650 AirPlus
Apache Php Mysql |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Tue Jun 12, 2007 5:49 am Post subject: |
|
|
| djinnZ wrote: | | Se vuoi star tranquilllo creati un demone (anche con un semplice script via find&fuser) per ripulirla ed attiva l'opzione in conf.d/rc o rc.conf non ricordo. |
Io per questo mi affido a app-admin/tmpwatch, visto che spesso ho uptime molto elevati rischio che la spazzatura si accumuli e questo è un ottimo aiuto per tenerla sotto controllo.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
randomaze
Bodhisattva
Joined: 21 Oct 2003
Posts: 9985
|
| Posted: Tue Jun 12, 2007 7:59 am Post subject: |
|
|
Mi vengono in mente due ragioni per tenerle separate:
/tmp deve essere accessibile a tutti gli utenti, su /var/tmp sono impostabili politiche più restrittive (utenti che fa parte di un determinato gruppo e simili...).
Se /tmp e /var/tmp sono su partizioni differenti il riempimento della prima non blocca la seconda (quindi, supponendo che /var/tmp venga usata da programmi "di sistema" il tutto continua a funzionare).
insomma, si tratta più che altro di un discorso di versatilità.
_________________
Ciao da me! |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Tue Jun 12, 2007 11:54 am Post subject: |
|
|
| makoomba wrote: | | non ho mai trovato convincenti le motivazioni portate per differenziare /tmp e /var/tmp. |
veramente io non ho mai trovato convincente tutta l'impostazione di /var (e trovo che puzzi un poco troppo di comitato rispetto al resto).
Comunque la questione è più o meno nei termini prospettati da randomaze e nel fatto che effettivamente hai alcuni file di natura temporanea che sarebbe comodo conservare tra una sessione e l'altra, un poco come è per buona parte della gerarchia di /var. Forse sarebbe più corretto chiamarla /var/generic o /var/uncategorized ma è inutile usare nomi lunghi.
Nel mio vecchio unix per i log usavi una subdir di /usr per /home /usr/acct etc. e tutto ciò che era temporaneo andava in /tmp, spool-file, cache utente tutti assieme sono un autentico incubo (e fonte inesauribile di scherzi idioti sui server studenti a quel che ricordo).
Il problema semmai è che var è un calderone che confonde cose da conservare come /var/www e /var/log e critiche come /var/db/pkg con code e spool (e certi programmi come hylafax ci sbattono persino parte degli eseguibili) che hanno natura più volatile.
ma qui è una mia opinione personale su tutta l'evoluzione dell'albero delle directory che comprende anche cose come avere la cache dei browser nella home utente etc.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
