[vz-users] Frage
Marc Haber
mh+volkszaehler-users at zugschlus.de
Fri Jan 13 08:52:19 CET 2017
On Thu, Jan 12, 2017 at 04:39:25PM +0100, Udo1 wrote:
> Am 12.01.2017 um 14:39 schrieb Marc Haber:
> >Weil alle Leute nach /tmp schreiben dürfen. Wenn jetzt ein Angreifer
> >den Dateinamen raten kann, mit dem ein privilegierter Benutzer eine
> >Datei anlegen wird, kann er durch das Vorbereiten eines symbolischen
> >Links an dieser Stelle beliebige Dateien überschreiben lassen, die der
> >priviligierte user schreiben darf. Beliebt ist hier beispielsweise
> >/etc/shadow.
>
> Ok, dann sollte man sich überlegen ob man nicht ein anderes Verzeichnis
> nimmt.
> Ich hatte das damals aus diesem Grund so gemacht. Siehe
> https://github.com/volkszaehler/vzlogger/issues/241
>
> Vorschläge wie man es besser macht herzlich willkommen.
Wenn die Daten dort nur zwischengelagert werden, würde ich einen
Dateinamen würfeln lassen (mktemp o.ä.). Wenn die Daten auch einen
Stromausfall/Reboot überstehen sollen, braucht es einen Massenspeicher
der nicht das Timing des Gesamtsystems durcheinanderbringt.
Oder Du schreibst in eine Datei mit gewürfeltem Namen nach /tmp und
kopierst das dann alle fünf Minuten auf die SD-Karte.
Grüße
Marc
--
-----------------------------------------------------------------------------
Marc Haber | "I don't trust Computers. They | Mailadresse im Header
Leimen, Germany | lose things." Winona Ryder | Fon: *49 6224 1600402
Nordisch by Nature | How to make an American Quilt | Fax: *49 6224 1600421
More information about the volkszaehler-users
mailing list