[debian-devel:12601] Re: (draft) [SECURITY] New version of canna released

[Fumitoshi UKAI <ukai@debian.or.jp>]

At Mon, 3 Jul 2000 23:00:15 +0900,
ISHIKAWA Mutsumi <ishikawa@xxxxxxxxxxx> wrote:

> >> root権限で動いている(よね)というのも問題かもしれません。rootである
> >> 必要がなければ、もっと弱い権限で動かしたほうがいいでしょう(wishlist
> >> するかな)。
> >>
> >> これ、cannaserverに限りません。
> 
>  これは 検討しましたが とりあえずは 今回は見送りました。
> 
>  理由
> 
>  1) ともかく セキュリティホールを閉じた上で新しいパッケージを出すのが
>     先決。
> 
>  2) potato リリース前に余計な手を入れて、動かなくしたくない。変更点は
>     最小限に。

上のはいいんですが。
 
>  3) セキュリティ的には cannaserver を動かす専用 UID があった方が望まし
>     いはずだが、現在の policy では各 パッケージが勝手に /etc/passwd と
>     かにユーザを追加したりしてはいけない。base-files パッケージの
>     メンテナに依頼が必要(でもって、そのメンテナが反応遅いんだこれ
>     が。。。)。どう考えても時間がかかる。

Debian Policy Manual 3.2. Users and groups

     100-999:
          Dynamically allocated system users and groups.  Packages which
          need a user or group, but can have this user or group allocated
          dynamically and differently on each system, should use ``adduser
          --system'' to create the group and/or user.  `adduser' will check
          for the existence of the user or group, and if necessary choose
          an unused id based on the ranged specified in `adduser.conf'.

ですから やりようによっては postinst で

	adduser --system canna

じゃないすかね?
# chown -R canna /var/lib/canna/dic/canna がいる?

もしくは Canna の default の bin.bin を使うとか

-- 
鵜飼文敏