いのうえ@京都です。
# うわ,man su に載ってる...昨日見ればよかった。自省: RTFM!
<quote src=`man 1 su`>
現在の環境は新しいシェルに引き継がれる。 $PATHの値は、通常
のユーザの場合は/bin:/usr/binに、スーパー ユー ザ の 場 合
は/sbin:/bin:/usr/sbin:/usr/bin に 再 設 定 さ れ る。これ
は/etc/login.defsのENV_PATHとENV_SUPATHで変更できる。
</quote>
<quote src=`man 5 login.defs`>
/etc/login.defs ファイルは shadow ログイン機能に対するサイ
ト固有の設定を行うためのものである。...
ENV_SUPATH (文字列)
このパラメータはスーパーユーザの検索パスに設定し な
く てはならない。 UIDがゼロのユーザがログインした場
合、環境変数PATHの内容はこの値に初期化される。こ の
パ ラメータは必ず必要である; 定義されていない場合は
誤りのあり得るデフォルト値に設定されてしま う だ ろ
う。
</quote>
とのことです。PAM の shadow utilities レベルでの設定事項の
ようですよ。
>>>> At Tue, 8 Jul 2003 06:49:29 +0900 [ML Count: 37628],
>>>> `内'== Takeru Naito さん <fascinating_logic@xxxxxxxxx> wrote:
内| どの挙動が正しいのかまでは調べられなかったのですが、
内| Gentoo のセキュリティ・マニュアルにこうありました。
> このときrootがsu -を使わずにsuした場合、root
> ユーザーはそのユーザーのPATHの設定を引き継ぐことになります。
内| ( http://www.gentoo.org/doc/ja/gentoo-security.xml )
内| とりあえず、件のような動作をする環境は他にもあるようです。
ポリシー上の問題なので究極的な「正しさ」というのは無さそうですが,
先のメールで引用したようなセキュリティ面への配慮で言えば,
デフォルトでは固定した $PATH に設定し直されないのはフィーチャーと
いうよりはバグに近いと思います。
--
井上 博之 / INOUE Hiroyuki
E-Mail: dombly@xxxxxxxxxxxxxxxx
PGP Fingerprint: CAF3 05AB B2C6 0869 2876 1F68 3C49 F871 BC66 3D8D
...................................................................
:terrorism csystems halcon Mantis e-bomb Aladdin Waco, Texas MDA
:Sears Tower NASA computer terrorism unclassified Leuken-Baden
:(Cf. http://www.gnu.org/manual/emacs/html_chapter/emacs_29.html#SEC372)
Attachment:
pgpdW6EzjMFYq.pgp
Description: PGP signature