AT Blog

Debian

Bastien Roucaries laat weten dat het verplaatsen van de directory /tmp van disk naar tmpfs voor hem problemen oplevert met beeldverwerkingsoftware. De algemene reactie is dat /tmp niet bedoeld is om grote bestanden in op te slaan en dat de software het op een andere locatie moet opslaan, bijvoorbeeld in /var/tmp. Echter, het probleem met /var/tmp is dat deze niet bij elke boot wordt leeggemaakt. Bastien stelt voor om een nieuwe directory te introduceren bijvoorbeeld /var/tmp/nonpersistent (link).

Yaroslav Halchenko vraagt zich af of het is toegestaan om onder /usr/bin subdirectories te hebben (link). Dit is algemeen niet toegestaan alhoewel er twee uitzonderingen zijn voor mailutils. De FHS is niet erg duidelijk in de bewoording waardoor er nogal wat discussie ontstaat of de FHS het nu wel of niet verbiedt. Cyril Brulebois maakt duidelijk dat de nieuwe FSH 3.0 standaard het expliciet verbiedt (link). De juiste locatie voor extra executables onder Debian zou zijn /usr/lib/<PACKAGENAAM>. Maar andere distro's gebruiken hier /usr/libexec voor. Debian was hier initieel op tegen omdat het onduidelijk is wat de bedoeling van /usr/libexec is. Het lijkt erop dat het in de FHS is opgenomen en dat Debian /usr/libexec zal gaan gebruiken voor executables die niet direct door gebruikers maar door andere executables worden aangeroepen.

Ben Hutchings vindt dat het tijd is om ondersteuning voor de 486 architectuur te stoppen. Reden is dat er nog maar weinig gebruik wordt gemaakt van 486 hardware. Door als minimale eis 586 te nemen kan er beter geoptimaliseerd worden en dat zal algemeen de performance verbeteren (link). Er zijn er natuurlijk wel een paar gebruikers die nog oude hardware draaien en bezwaar maken. Maar de meesten lijken het eens te zijn. Wellicht dat Wheezy (de volgende stable) al als minimale eis 586 krijgt.

Fedora

Daniel J Walsh doet een voorstel om services die met root-rechten draaien te verbieden files aan te maken onder /tmp en/of /var/tmp (link). Hier kan namelijk door "gewone" gebruikers misbruik van worden gemaakt. Wanneer de gebruiker vooraf de file die de service gebruikt aanmaakt onder /tmp (iedereen mag daar immers files aanmaken) en de service deze file inleest en uitvoert kan de gebruiker hiermee root-rechten verkrijgen. Door in de file bijvoorbeeld een script te verwerken zal het script namelijk met de rechten van de service draaien. De oplossing is om via systemd ieder proces een privé directory te geven onder /tmp en/of /var/tmp. Deze directories zullen dan een willekeurige naam krijgen. Hierdoor is de kans op misbruik minimaal doordat het erg moeilijk is vooraf te voorspellen welke directory wordt gebruikt door een bepaalde service.