SetuidからPerlへのスクリプト

Question

私は、sendmailのmqueueフォルダからデータを削除するPerlスクリプトを使用しています。

Insecure dependency in chdir while running setuid at /file/find 

それを解決して正常ルートprivelegesでスクリプトを実行する方法：IというPerlスクリプトにsetuidし、ユーザーからそれを実行しようと、それはこのメッセージをスロー

？

!/usr/bin/perl 

use strict; 

my $qtool = "/usr/local/bin/qtool.pl"; 
my $mqueue_directory = "/var/spool/mqueue"; 
my $messages_removed = 0; 

use File::Find; 
# Recursively find all files and directories in $mqueue_directory 
find(\&wanted, $mqueue_directory); 

sub wanted { 
    # Is this a qf* file? 
    if (/^qf(\w{14})/) { 
     my $qf_file = $_; 
     my $queue_id = $1; 
     my $deferred = 0; 
     my $from_postmaster = 0; 
     my $delivery_failure = 0; 
     my $double_bounce = 0; 
     open (QF_FILE, $_); 
     while(<QF_FILE>) { 
     $deferred = 1 if (/^MDeferred/); 
     $from_postmaster = 1 if (/^S<>$/); 
     $delivery_failure = 1 if \ 
      (/^H\?\?Subject: DELIVERY FAILURE: (User|Recipient)/); 
     if ($deferred && $from_postmaster && $delivery_failure) { 
      $double_bounce = 1; 
      last; 
     } 
     } 
     close (QF_FILE); 
     if ($double_bounce) { 
     print "Removing $queue_id...\n"; 
     system "$qtool", "-d", $qf_file; 
     $messages_removed++; 
     } 
    } 
} 

print "\n$messages_removed total \"double bounce\" message(s) removed from "; 
print "mail queue.\n"; 

Answer 1

"安全でない依存関係が" Taintものです：http://perldoc.perl.org/perlsec.html。

スクリプトsetuidを実行しているため、Taintが強制されています。ファイルへの％オプションキーとしてuntaintを指定する::検索必要があります。

http://metacpan.org/pod/File::Find

my %options = (
    wanted => \&wanted, 
    untaint => 1 
); 

find(\%options, $mqueue_directory); 

あなたは、ファイルのためのPODでuntaint_patternを見ても、持っている必要があります::検索します。

Answer 2

プログラムラッパーを構築する必要があります。ほとんどのUNIXシステムでは、スクリプトは決してSetUIDビットを介してroot権限を得ることができません。いくつかの便利な例がここにあります。http://www.tuxation.com/setuid-on-shell-scripts.html