本を読む

読書やコンピュータなどに関するメモ

ファイルを作ってからchmod 600するのはセキュアじゃない

 「どう書く?org」でさんざんふざけた回答を投稿しまくっている私なんですが、自分のことを思いきり棚に上げてツッコんでみます。もし、これで参考になる方がいらっしゃればと。

 「ACLの制御 どう書く?org」というお題が出されて、「セキュリティ」というタグがついています。これに対して、ファイルを作ってからアクセス権限を変更する回答がいくつか寄せられています。

 これは、セキュリティとしてはヤバいパターンではないかと思います。簡単にいうと、ファイルを作ってからchmodする間にopenしてしまえば、アクセス制限は適用されないからです(少なくともUnix系OSでは)。

 回答されている方々は理解したうえでお題の要求に答えているからいいのですが、知らない方々が見ることを考えると、ちょっと危険かなと。いや、セキュリティは私も苦手なんですが。

 実験してみましょう。まず、ファイルを作ってからchmod 600するシェルスクリプト「target.sh」を用意します。

#!/bin/sh
echo 'Hello, World' > hoge.txt
chmod 600 hoge.txt

 次に、以下の「spy.c」を用意します。カレントディレクトリを監視して、ファイルが作られたらその内容を出力するというものです。最近のLinux向け専用のプログラムで、ほとんど「inotify を使ってファイルシステムのアクティビティーを監視する」の丸コピーです。

#include <stdio.h>
#include <stdlib.h>
#include <errno.h>
#include <sys/types.h>
#include <sys/inotify.h>

#define EVENT_SIZE  ( sizeof (struct inotify_event) )
#define BUF_LEN     ( 1024 * ( EVENT_SIZE + 16 ) )

void readfile(const char *filename) {
  FILE *fp;
  int c;
  if (fp = fopen(filename, "r")) {
    while ((c = getc(fp)) != EOF) {
      putchar(c);
    }
    fclose(fp);
  } else {
    printf("cannot open %s\n", filename);
  }
}

int main( int argc, char **argv ) 
{
  int length, i = 0;
  int fd;
  int wd;
  char buffer[BUF_LEN];

  if ((fd = inotify_init()) < 0 ) {
    perror( "inotify_init" );
  }

  wd = inotify_add_watch( fd, ".", IN_MODIFY | IN_CREATE | IN_DELETE );
  length = read( fd, buffer, BUF_LEN );  

  while ( i < length ) {
    struct inotify_event *event = ( struct inotify_event * ) &buffer[ i ];
    if ( event->len ) {
      if ( event->mask & IN_CREATE ) {
        if (! (event->mask & IN_ISDIR) ) {
          printf( "The file %s was created.\n", event->name );
          readfile(event->name);
        }
      }
    }
    i += EVENT_SIZE + event->len;
  }

  ( void ) inotify_rm_watch( fd, wd );
  ( void ) close( fd );
}

 コンパイルします。

$ cc spy.c -o spy

 さて、一般ユーザーでspyを実行したうえで、root権限でtarget.shを実行します。

$ ./spy &
[1] 20385
$ sudo sh target.sh
The file hoge.txt was created.
Hello, World
[1]  + done       ./spy
$ ls -l hoge.txt
-rw------- 1 root root 13 2009-04-07 22:14 hoge.txt

 というわけで、rootだけしか読めないようにするはずのファイルが読めてしまいました。

 対策としては、教科書的には、umaskなりcreatの引数なりで先にパーミッションを制限するのがいいのではないかと思います。

コメント

コメントの投稿

管理者にだけ表示を許可する

トラックバック

http://emasaka.blog65.fc2.com/tb.php/584-499513f4

 | HOME | 

Categories

Recent Entries

Recent Comments

Recent Trackbacks

Appendix

emasaka

emasaka

フリーター。
連絡先はこのへん

Monthly


FC2Ad