Re: Exim4 и пароль к BD.
On Wed, Oct 31, 2007 at 05:02:42PM +0300, Alexander GQ Gerasiov wrote: На Wed, 31 Oct 2007 18:14:41 +0500 Jurgen V. Uzbekoff [EMAIL PROTECTED] записано: Написал багрепорт, пришёл ответ. Оказывается, баги как таковой нет - в /etc/exim4/update-exim4.conf.conf есть опция CFILEMODE, которую можно выставить какую захочется на своё усмотрение, например '640'. По умолчанию стоит '644'. Хотя, мне лично больше бы понравилось CFILEMODE='640' по умолчанию... Ну так зарепорть. Поставб северети wish и таг security. Потому как это будет правильно. Либо права, либо большой ворнинг в файле с габлоном подключения к БД. Даже не знаю... Это получается ещё один багрепорт открывать надо? Вот что мне ответили: Date: Wed, 31 Oct 2007 12:39:43 +0100 From: Marc Haber [EMAIL PROTECTED] To: Jurgen V. Uzbekoff [EMAIL PROTECTED], [EMAIL PROTECTED] Subject: Re: Bug#448712: exim4-daemon-heavy: too wide file permissions: /var/lib/exim4/config.autogenerated On Wed, Oct 31, 2007 at 03:26:18PM +0500, Jurgen V. Uzbekoff wrote: File /var/lib/exim4/config.autogenerated has permissions 0644. Yes, that's the default which is acceptable to the wide majority of installations. -- Узбеков Юрий администратор DCBB СП East Telecom -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Exim4 и пароль к BD.
У чт, 2007-11-01 у 14:21 +0500, Jurgen V. Uzbekoff пише: On Wed, Oct 31, 2007 at 05:02:42PM +0300, Alexander GQ Gerasiov wrote: На Wed, 31 Oct 2007 18:14:41 +0500 Jurgen V. Uzbekoff [EMAIL PROTECTED] записано: Написал багрепорт, пришёл ответ. Оказывается, баги как таковой нет - в /etc/exim4/update-exim4.conf.conf есть опция CFILEMODE, которую можно выставить какую захочется на своё усмотрение, например '640'. По умолчанию стоит '644'. Хотя, мне лично больше бы понравилось CFILEMODE='640' по умолчанию... Ну так зарепорть. Поставб северети wish и таг security. Потому как это будет правильно. Либо права, либо большой ворнинг в файле с габлоном подключения к БД. Даже не знаю... Это получается ещё один багрепорт открывать надо? Вот что мне ответили: Date: Wed, 31 Oct 2007 12:39:43 +0100 From: Marc Haber [EMAIL PROTECTED] To: Jurgen V. Uzbekoff [EMAIL PROTECTED], [EMAIL PROTECTED] Subject: Re: Bug#448712: exim4-daemon-heavy: too wide file permissions: /var/lib/exim4/config.autogenerated On Wed, Oct 31, 2007 at 03:26:18PM +0500, Jurgen V. Uzbekoff wrote: File /var/lib/exim4/config.autogenerated has permissions 0644. Yes, that's the default which is acceptable to the wide majority of installations. Только не представляю, как vast majority пострадает от сужения прав до 640. У экзима, к сожалению, есть одна большая беда -- невменяемый ментейнер. До сих пор помню как он дизейблил SPF при сборке, мотивируя тем, что spf не рулит. Если б по такому принципу остальные ментейнеры работали, в Debian не было бы ни KDE, ни GNOME... 8) -- Alexander Vlasov ZULU-UANIC JID: zulu at jabber.kiev.ua -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Exim4 и пароль к BD.
On Thu, Nov 01, 2007 at 12:24:20PM +0200, Alexander Vlasov wrote: У экзима, к сожалению, есть одна большая беда -- невменяемый ментейнер. До сих пор помню как он дизейблил SPF при сборке, мотивируя тем, что spf не рулит. Если б по такому принципу остальные ментейнеры работали, в Debian не было бы ни KDE, ни GNOME... 8) Все-таки полицейская SPF и вкус-и-цвет десктопов -- немного разные вещи. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Exim4 и пароль к BD.
Jurgen V. Uzbekoff - debian-russian@lists.debian.org @ Thu, 1 Nov 2007 14:21:33 +0500: Написал багрепорт, пришёл ответ. Оказывается, баги как таковой нет - в /etc/exim4/update-exim4.conf.conf есть опция CFILEMODE, которую можно выставить какую захочется на своё усмотрение, например '640'. По умолчанию стоит '644'. Хотя, мне лично больше бы понравилось CFILEMODE='640' по умолчанию... Ну так зарепорть. Поставб северети wish и таг security. Потому как это будет правильно. Либо права, либо большой ворнинг в файле с габлоном подключения к БД. JVU Даже не знаю... Это получается ещё один багрепорт открывать надо? JVU Вот что мне ответили: JVU Date: Wed, 31 Oct 2007 12:39:43 +0100 JVU From: Marc Haber [EMAIL PROTECTED] JVU To: Jurgen V. Uzbekoff [EMAIL PROTECTED], [EMAIL PROTECTED] JVU Subject: Re: Bug#448712: exim4-daemon-heavy: too wide file permissions: /var/lib/exim4/config.autogenerated JVU On Wed, Oct 31, 2007 at 03:26:18PM +0500, Jurgen V. Uzbekoff wrote: File /var/lib/exim4/config.autogenerated has permissions 0644. JVU Yes, that's the default which is acceptable to the wide majority of JVU installations. Жаловаться в security team. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] Машины пока еще от копирования защищены хитрой немецкой технологией сборка трезвымAlex Korchmar в [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Exim4 и пароль к BD.
У чт, 2007-11-01 у 13:36 +0300, Иван Лох пише: On Thu, Nov 01, 2007 at 12:24:20PM +0200, Alexander Vlasov wrote: У экзима, к сожалению, есть одна большая беда -- невменяемый ментейнер. До сих пор помню как он дизейблил SPF при сборке, мотивируя тем, что spf не рулит. Если б по такому принципу остальные ментейнеры работали, в Debian не было бы ни KDE, ни GNOME... 8) Все-таки полицейская SPF и вкус-и-цвет десктопов -- немного разные вещи. Нерелевантно. Ментейнер должен бы делать так, чтоб покрыть желания как можно большего количества пользователей -- вне зависимости от собственного чувства прекрасного. -- Alexander Vlasov ZULU-UANIC JID: zulu at jabber.kiev.ua -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Exim4 и пароль к BD.
On Thu, Nov 01, 2007 at 02:02:58PM +0300, Artem Chuprina wrote: Jurgen V. Uzbekoff - debian-russian@lists.debian.org @ Thu, 1 Nov 2007 14:21:33 +0500: Написал багрепорт, пришёл ответ. Оказывается, баги как таковой нет - в /etc/exim4/update-exim4.conf.conf есть опция CFILEMODE, которую можно выставить какую захочется на своё усмотрение, например '640'. По умолчанию стоит '644'. Хотя, мне лично больше бы понравилось CFILEMODE='640' по умолчанию... Ну так зарепорть. Поставб северети wish и таг security. Потому как это будет правильно. Либо права, либо большой ворнинг в файле с габлоном подключения к БД. JVU Даже не знаю... Это получается ещё один багрепорт открывать надо? JVU Вот что мне ответили: JVU Date: Wed, 31 Oct 2007 12:39:43 +0100 JVU From: Marc Haber [EMAIL PROTECTED] JVU To: Jurgen V. Uzbekoff [EMAIL PROTECTED], [EMAIL PROTECTED] JVU Subject: Re: Bug#448712: exim4-daemon-heavy: too wide file permissions: /var/lib/exim4/config.autogenerated JVU On Wed, Oct 31, 2007 at 03:26:18PM +0500, Jurgen V. Uzbekoff wrote: File /var/lib/exim4/config.autogenerated has permissions 0644. JVU Yes, that's the default which is acceptable to the wide majority of JVU installations. Жаловаться в security team. А можно поподробнее - что значит жаловаться в security team? Какими средствами? Через тот же reportbug или как-то более хитро? Спасибо. -- Узбеков Юрий администратор DCBB СП East Telecom -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Exim4 и пароль к BD.
Alexander Vlasov - debian-russian@lists.debian.org @ Thu, 01 Nov 2007 12:24:20 +0200: Написал багрепорт, пришёл ответ. Оказывается, баги как таковой нет - в /etc/exim4/update-exim4.conf.conf есть опция CFILEMODE, которую можно выставить какую захочется на своё усмотрение, например '640'. По умолчанию стоит '644'. Хотя, мне лично больше бы понравилось CFILEMODE='640' по умолчанию... Ну так зарепорть. Поставб северети wish и таг security. Потому как это будет правильно. Либо права, либо большой ворнинг в файле с габлоном подключения к БД. Даже не знаю... Это получается ещё один багрепорт открывать надо? Вот что мне ответили: Date: Wed, 31 Oct 2007 12:39:43 +0100 From: Marc Haber [EMAIL PROTECTED] To: Jurgen V. Uzbekoff [EMAIL PROTECTED], [EMAIL PROTECTED] Subject: Re: Bug#448712: exim4-daemon-heavy: too wide file permissions: /var/lib/exim4/config.autogenerated On Wed, Oct 31, 2007 at 03:26:18PM +0500, Jurgen V. Uzbekoff wrote: File /var/lib/exim4/config.autogenerated has permissions 0644. Yes, that's the default which is acceptable to the wide majority of installations. AV Только не представляю, как vast majority пострадает от сужения прав до AV 640. AV У экзима, к сожалению, есть одна большая беда -- невменяемый ментейнер. AV До сих пор помню как он дизейблил SPF при сборке, мотивируя тем, что AV spf не рулит. Если б по такому принципу остальные ментейнеры работали, AV в Debian не было бы ни KDE, ни GNOME... 8) А SPF можно выключить в конфигурации, если он при сборке enabled? А то по умолчанию его точно нельзя включать. А уж если нельзя будет выключить... -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] Он был новичком в Париже, а не в фехтовании. Alexander Mozhaev в [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Exim4 и пароль к BD.
На Thu, 1 Nov 2007 16:52:24 +0500 Jurgen V. Uzbekoff [EMAIL PROTECTED] записано: JVU Date: Wed, 31 Oct 2007 12:39:43 +0100 JVU From: Marc Haber [EMAIL PROTECTED] JVU To: Jurgen V. Uzbekoff [EMAIL PROTECTED], JVU [EMAIL PROTECTED] Subject: Re: Bug#448712: JVU exim4-daemon-heavy: too wide file JVU permissions: /var/lib/exim4/config.autogenerated JVU On Wed, Oct 31, 2007 at 03:26:18PM +0500, Jurgen V. Uzbekoff JVU wrote: File /var/lib/exim4/config.autogenerated has permissions 0644. JVU Yes, that's the default which is acceptable to the wide JVU majority of installations. Жаловаться в security team. А можно поподробнее - что значит жаловаться в security team? Какими средствами? Через тот же reportbug или как-то более хитро? http://www.debian.org/security/faq#contact Письмо им напиши. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Exim4 и пароль к BD.
Всем привет! Прошу прощения, если offtopic, но хотелось бы посоветоваться. Ещё в Sarge заметил одну на мой взгляд багу, но всё надеялся, что в Etch-е её не будет, однако, нет... В документации к Exim4 написано: === Some option settings may contain sensitive data, for example, passwords for accessing databases. To stop non-admin users from using the -bP command line option to read these values, you can precede the option settings with the word hide. For example: hide mysql_servers = localhost/users/admin/secret-password For non-admin users, such options are displayed like this: mysql_servers = value not displayable === И действительно, всё замечательно, если смотреть через 'exim4 -bP'; но в Debian (а может и не только - других систем для сравнения нет) есть файл /var/lib/exim4/config.autogenerated (root:Debian-exim, права доступа - 644). Этот файл виден абсолютно всем, и в нём открытым текстом написан пароль к базе - тот самый 'secret-password'. Вопрос, собственно, в том, бага это или всё-таки нет, а я просто что-то неправильно делаю? Спасибо! -- Узбеков Юрий администратор DCBB СП East Telecom -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Exim4 и пароль к BD.
On Wed, Oct 31, 2007 at 12:11:19PM +0500, Jurgen V. Uzbekoff wrote: Всем привет! Прошу прощения, если offtopic, но хотелось бы посоветоваться. Ещё в Sarge заметил одну на мой взгляд багу, но всё надеялся, что в Etch-е её не будет, однако, нет... В документации к Exim4 написано: === Some option settings may contain sensitive data, for example, passwords for accessing databases. To stop non-admin users from using the -bP command line option to read these values, you can precede the option settings with the word hide. For example: hide mysql_servers = localhost/users/admin/secret-password For non-admin users, such options are displayed like this: mysql_servers = value not displayable === И действительно, всё замечательно, если смотреть через 'exim4 -bP'; но в Debian (а может и не только - других систем для сравнения нет) есть файл /var/lib/exim4/config.autogenerated (root:Debian-exim, права доступа - 644). Этот файл виден абсолютно всем, и в нём открытым текстом написан пароль к базе - тот самый 'secret-password'. Вопрос, собственно, в том, бага это или всё-таки нет, а я просто что-то неправильно делаю? Да, верно: $ ls -l /var/lib/exim4/config.autogenerated -rw-r--r-- 1 root Debian-exim 19833 2007-10-31 09:29 /var/lib/exim4/config.autogenerated Другое дело, что паролей в конфигах у меня не встречается. Вроде бы файл этот кроме exim-а ничто не читает. Отошлите багрепорт, хуже точно не будет ;) -- Stanislav
Re: Exim4 и пароль к BD.
On Wed, Oct 31, 2007 at 10:43:33AM +0300, Stanislav Maslovski wrote: Да, верно: $ ls -l /var/lib/exim4/config.autogenerated -rw-r--r-- 1 root Debian-exim 19833 2007-10-31 09:29 /var/lib/exim4/config.autogenerated Другое дело, что паролей в конфигах у меня не встречается. А куда ещё можно вписать пароль к базе для Exim-а? Я тоже не стану, если мне подскажут правильное место :) Вроде бы файл этот кроме exim-а ничто не читает. Мало ли кто захочет его прочесть... Отошлите багрепорт, хуже точно не будет ;) -- Узбеков Юрий администратор DCBB СП East Telecom -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Exim4 и пароль к BD.
On Wed, Oct 31, 2007 at 12:58:31PM +0500, Jurgen V. Uzbekoff wrote: On Wed, Oct 31, 2007 at 10:43:33AM +0300, Stanislav Maslovski wrote: Да, верно: $ ls -l /var/lib/exim4/config.autogenerated -rw-r--r-- 1 root Debian-exim 19833 2007-10-31 09:29 /var/lib/exim4/config.autogenerated Другое дело, что паролей в конфигах у меня не встречается. А куда ещё можно вписать пароль к базе для Exim-а? Я тоже не стану, если мне подскажут правильное место :) Вроде бы файл этот кроме exim-а ничто не читает. Мало ли кто захочет его прочесть... Я, вообще-то, про то, что файлу не требуется быть world-readable с точки зрения функционирования системы (не зря было русским по бэкграунду написано _ничто_ не читает, а не _никто_ не читает). -- Stanislav
Re: Exim4 и пароль к BD.
On Wed, Oct 31, 2007 at 11:52:48AM +0300, Stanislav Maslovski wrote: On Wed, Oct 31, 2007 at 12:58:31PM +0500, Jurgen V. Uzbekoff wrote: On Wed, Oct 31, 2007 at 10:43:33AM +0300, Stanislav Maslovski wrote: Вроде бы файл этот кроме exim-а ничто не читает. Мало ли кто захочет его прочесть... Я, вообще-то, про то, что файлу не требуется быть world-readable с точки зрения функционирования системы (не зря было русским по бэкграунду написано _ничто_ не читает, а не _никто_ не читает). Да я это написал как раз в подтверждение того, что _ничто_ не читает, но вполне может прочитать _кто_-то. Одним словом - bugreport. Спасибо! -- Узбеков Юрий администратор DCBB СП East Telecom -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Exim4 и пароль к BD.
Написал багрепорт, пришёл ответ. Оказывается, баги как таковой нет - в /etc/exim4/update-exim4.conf.conf есть опция CFILEMODE, которую можно выставить какую захочется на своё усмотрение, например '640'. По умолчанию стоит '644'. Хотя, мне лично больше бы понравилось CFILEMODE='640' по умолчанию... Всем спасибо! -- Узбеков Юрий администратор DCBB СП East Telecom -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Exim4 и пароль к BD.
На Wed, 31 Oct 2007 18:14:41 +0500 Jurgen V. Uzbekoff [EMAIL PROTECTED] записано: Написал багрепорт, пришёл ответ. Оказывается, баги как таковой нет - в /etc/exim4/update-exim4.conf.conf есть опция CFILEMODE, которую можно выставить какую захочется на своё усмотрение, например '640'. По умолчанию стоит '644'. Хотя, мне лично больше бы понравилось CFILEMODE='640' по умолчанию... Ну так зарепорть. Поставб северети wish и таг security. Потому как это будет правильно. Либо права, либо большой ворнинг в файле с габлоном подключения к БД. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Exim4 и пароль к BD.
On Wed, Oct 31, 2007 at 06:14:41PM +0500, Jurgen V. Uzbekoff wrote: Написал багрепорт, пришёл ответ. Оказывается, баги как таковой нет - в /etc/exim4/update-exim4.conf.conf есть опция CFILEMODE, которую можно выставить какую захочется на своё усмотрение, например '640'. По умолчанию стоит '644'. Хотя, мне лично больше бы понравилось CFILEMODE='640' по умолчанию... Ясно. Безусловно видел эту опцию, но как-то не отложилось. В результате вас, в некотором смысле, «подставил», в чем каюсь, посыпая голову пеплом. -- Stanislav