Pacchetti slacky con permessi delle directory errati!

[Ansa89]

Scommetto che lshw, frostwire e firefox-it fanno parte dei 100 pacchetti incriminati.
Esiste un modo veloce per ripristinare i permessi, senza fare casino con l'albero delle directory?

[ulisse89]

puo' darsi che tu abbia fatto il source di un file shell che ti impostava l'umask a 000 (rimarrei di quella ipotesi): hai compilato tutti i pacchetti dalla solita shell?
se hai riavviato il pc/usato un'altra shell allora questa potrebbe non essere la spiegazione.
con "umask -p" vedi lo stato.
per l'utente mi riferivo al fatto che qualcuno (pochi, per fortuna) usa fakeroot.

Non ho mai usato un altra shell, ma per riavviato il pc cosa intendi? Quando lo riavvii ti reimposta l'umask regolare a 022?
Perchè se è così il pc l'ho riavviato sì in tutto questo tempo.

[ponce]

guarda questa prova

Codice: Seleziona tutto

$ umask -p                                                                                                                                                                                     
umask 0022
$ umask 0000                                                                                                                                                                                   
$ umask -p                                                                                                                                                                                       
umask 0000
$ su                                                                                                                                                                                           
Password:
# umask -p
umask 0000
# exit                                                                                                                                                                               
$ su -                                                                                                                                                                                         
Password:

Money isn't everything -- but it's a long way ahead of what comes next.
                -- Sir Edmond Stockdale

# umask -p                                                                 
umask 0022

quindi, se usi su senza il " -", potrebbe anche darsi che dipenda dai .bashrc o .bash_profile dell'utente da cui dai il su.

[ulisse89]

guarda questa prova

Codice: Seleziona tutto

$ umask -p                                                                                                                                                                                     
umask 0022
$ umask 0000                                                                                                                                                                                   
$ umask -p                                                                                                                                                                                       
umask 0000
$ su                                                                                                                                                                                           
Password:
# umask -p
umask 0000
# exit                                                                                                                                                                               
$ su -                                                                                                                                                                                         
Password:

Money isn't everything -- but it's a long way ahead of what comes next.
                -- Sir Edmond Stockdale

# umask -p                                                                 
umask 0022

quindi, se usi su senza il " -", potrebbe anche darsi che dipenda dai .bashrc o .bash_profile dell'utente da cui dai il su.

Questa cosa è pericolosissima. Dai un comando da utente che infuisce sulle azioni di root.
Comunque sì molto probabilmente è quello. E a sto punto, anche se non ricordo di averlo fatto, è possibile che sia stato io a dare quel comando.
Però poi al riavvio non dovrebbe essere messo tutto a posto?

[ponce]

se non ricarichi le impostazioni dell'umask nella tua bash facendo il source di qualche file (o nei due file di configurazioni citati, per utente e root) dovrebbe ricaricarti l'umask (corretta) di default che hai in /etc/profile.
potrebbe essere stato anche qualche file che conteneva l'umask sbagliata (installato magari da qualche pacchetto) dentro /etc/profile.d ed eseguito quindi all'avvio.

[giberg]

Reilly hai fatto benissimo invece e un avviso non sarebbe fuori luogo.

Certo, ma fare un avviso completamente pubblico potrebbe rovinare
la fama di robustezza e solidita' di una distribuzione Storica e
Granitica come Slackware... per non parlare di `slacky.eu' che
subirebbe anch'essa un enorme danno di immagine...

Beh, non si parla di pacchetti ufficiali
Slackware e quindi la fama di robustezza
della distro non c'entra.
Penso sia opportuno renderlo pubblico a tutti
gli utenti essendo un problema di sicurezza.
Di solito anche le distro correggono un problema
quando si presenta attraverso delle patch.
Anzi, si potrebbe rendere disponibile uno script
che risistemi i permessi sballati (nel caso li trovi).
Poi questo script potrebbe essere usato da tutti
i pacchettizzatori in modo da verificare che ogni
pacchetto creato non creii problemi di permessi
una volta installato. Lo si pone come regola
per il test dei pacchetti in modo da creare più fiducia
d'ora in avanti sul processo di controllo prima della
pubblicazione. Gli utenti che scaricano sanno che
ora verrà fatto tale controllo per evitare il problema
e i pacchetti non vengono pubblicati senza aver
prima verificato.
La fiducia degli utenti si crea mostrando attenzione
a queste cose e assicurando un processo di controllo
standard per evitare si ripetano errori già accaduti.

[ulisse89]

Reilly hai fatto benissimo invece e un avviso non sarebbe fuori luogo.

Certo, ma fare un avviso completamente pubblico potrebbe rovinare
la fama di robustezza e solidita' di una distribuzione Storica e
Granitica come Slackware... per non parlare di `slacky.eu' che
subirebbe anch'essa un enorme danno di immagine...

Beh, non si parla di pacchetti ufficiali
Slackware e quindi la fama di robustezza
della distro non c'entra.
Penso sia opportuno renderlo pubblico a tutti
gli utenti essendo un problema di sicurezza.
Di solito anche le distro correggono un problema
quando si presenta attraverso delle patch.
Anzi, si potrebbe rendere disponibile uno script
che risistemi i permessi sballati (nel caso li trovi).
Poi questo script potrebbe essere usato da tutti
i pacchettizzatori in modo da verificare che ogni
pacchetto creato non creii problemi di permessi
una volta installato. Lo si pone come regola
per il test dei pacchetti in modo da creare più fiducia
d'ora in avanti sul processo di controllo prima della
pubblicazione. Gli utenti che scaricano sanno che
ora verrà fatto tale controllo per evitare il problema
e i pacchetti non vengono pubblicati senza aver
prima verificato.
La fiducia degli utenti si crea mostrando attenzione
a queste cose e assicurando un processo di controllo
standard per evitare si ripetano errori già accaduti.

Sono d'accordo con te. Se qualcuno ha installato uno di questi pacchetti e si ritrova i permessi sballati, capisce che è proprio colpa del pacchetto, dà un'occhiata al forum e vede che nessuno ne parla. Allora in quel caso si fa brutta figura, perchè sembra che ci curiamo poco del lavoro che facciamo.
Quando per esempio esce una vulnerabilità in un software, non la si nasconde, ma la si rende pubblica e si cerca di riparare nel minor tempo possibile.
A tutti capita di sbagliare, ma è come si affronta lo sbaglio che fa guadagnare fiducia o meno.

In questo caso cercheremo di ricompilare i pacchetti incriminati il più in fretta possibile (da domani mi metto sotto) e avremo (ma forse di più AVRO') imparato a controllare i permessi delle directory prima di caricare un pacchetto.

[albatrosla]

Concordo. Si dovrà prevedere uno script da rilasciare, evidenziando che sarà bene eseguirlo se si hanno determinati package installati o che sono stati presenti in passato nel proprio sistema (per questo si può sfruttare l'ottimo /var/log/packages e /var/log/removed_packages). Per quanto riguarda l'individuazione dei package incriminati, ZeroUno pare abbia circoscritto in un centinaio quelli fallati, come diceva in un post precedente. Per quanto riguarda lo script, vedremo di metterci in moto quanto prima!

[conraid]

ulisse89, che tu adesso abbia i permessi sballati è normale, visto che avrai anche installato i tuoi pacchetti
Se lo slackbuild è corretto hai per caso /tmp montata con qualche opzione strana?
se crei una directory nuova in /tmp semplicemente digitando
mkdir prova
che permessi ti setta?

[gohanz]

Ho notato che i pacchetti di Ulisse sembrano ricompilati, sotto Windows, in una macchina virtuale. Tutti le righe degli Slack-Desc hanno il carattere ^M di ritorno a capo.

[ulisse89]

ulisse89, che tu adesso abbia i permessi sballati è normale, visto che avrai anche installato i tuoi pacchetti
Se lo slackbuild è corretto hai per caso /tmp montata con qualche opzione strana?
se crei una directory nuova in /tmp semplicemente digitando
mkdir prova
che permessi ti setta?

No, se creo una directory in /tmp li setta correttamente. Avevo già fatto questa prova.
Però adesso la prova non è affidabile, perchè se provo a ricompilare i pacchetti che sono nella lista, li ricompilo con i permessi corretti.
Insomma sembra che ora sia tutto a posto. E questo è davvero strano, perchè da un giorno all'altro non fa più questo difetto.
Lo ha fatto per due mesi circa perchè quasi tutti i pacchetti che ho ricompilato sono incriminati. E adesso nulla.

Ho notato che i pacchetti di Ulisse sembrano ricompilati, sotto Windows, in una macchina virtuale. Tutti le righe degli Slack-Desc hanno il carattere ^M di ritorno a capo.

No, uso slackware pulita. Non in macchina virtuale insomma. Ho una partizione in cui ho windows, che monto all'avvio, ma non so quanto infuisca questa cosa.

[Reilly]

Comunque ragazzi, come ho gia detto tutto e' iniziato per via di
`wxpython' che aveva settata la dir `/usr/doc' in 0777, pero'
(forse) non me ne sarei potuto mai accorgermene se non avessi in
una parte del mio `/etc/profile' questa stringa qui:


if [[ ${EUID} == 0 ]] ; then
PS1='\[\033[01;31m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '
else
PS1='\[\033[01;32m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '
fi

[CUT... CUT...]


Soltanto adesso mi accorgo della menata che ho scritto.
Ovviamente per vedere file e directory colorate basta semplicemente
che la variabile di `LS_OPTIONS' contenga questa opzione: `--color=auto'.
Una particolarita' che hanno il 99.9% degli utilizzatori di Slackware.

Comunque, quelle righe nel mio `/etc/profile' mi servono perche'
cosi' se sono da utente normale mi visualizza il nome in verde... se
invece sono da `root' in rosso.
(cosi' mi confondo meno...)

Scusate!


Reilly

[ulisse89]

Ok. ho provato a ricompilare mozilla-firefox-it. E sorpresa: lo ricompila di nuovo con i permessi errati.
Prima di lanciare lo SlackBuild :

Codice: Seleziona tutto

bash-3.1# umask
0022


Dopo:

Codice: Seleziona tutto

bash-3.1# umask
0000


Ci sto perdendo la testa.

EDIT: Ho settato `umask 0022`. Ho ricompilato firefox e stavolta lo ha compilato bene e non ha cambiato il valore di umask.
Lo ricompilo per la 3 volta e di nuovo sbaglia i permessi e alla fine ho umask a 0000.

[ZeroUno]

1) non dare "su" ma "su -" per diventare root
2) lancia lo slackbuild con "bash -x" e vedi cosa dice. ancora meglio "bash -x -e" così si blocca in caso di errori

Ciao
01

[ulisse89]

Ho ristretto il problema. Il fatto della differenza da una ricompilazione alla successiva è questa:
- la prima volta ho dato

Codice: Seleziona tutto

su
password di root
./firefox.SlackBuild

(sbagliato)
- la seconda ho impostato la umask a 0022 e ho ricompilato (giusto)
- La terza ho dato exit tornando a utente normale poi ho ridato:

Codice: Seleziona tutto

su
password di root
./firefox.SlackBuild

(sbagliato).
In pratica il comando su imposta umask a 0000 (quella dell'utente normale probabilmente). Se poi la reimposto da root rimane così fine a quando non torno utente normale.
Devo quindi capire perchè il mio utente ( da cui do `su`) ha umask settata a 0000 di default e come fare a cambiarla.

EDIT: ZeroUno mi hai preceduto. Avevi capito già l'errore.