home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #30 / NN_1992_30.iso / spool / comp / mail / elm / 3700 < prev    next >
Encoding:
Text File  |  1992-12-13  |  2.5 KB  |  65 lines
  1. Newsgroups: comp.mail.elm
  2. Path: sparky!uunet!UB.com!daver!hico2!kak
  3. From: kak@hico2.westmark.com (Kris A. Kugel)
  4. Subject: Re: World-readable mailbox?
  5. Message-ID: <Bz5vpy.656@hico2.westmark.com>
  6. Summary: other-read bit dominant on sysV.2 sgid elm
  7. Keywords: security, elm 2.4 PL13, sgid, UNIX SysV.2
  8. Reply-To: kak2@hico2.westmark.com
  9. Organization: High Country Software
  10. X-Newsreader: TIN [version 1.1 PL8]
  11. References: <Byr0p0.nr@chinet.chi.il.us>
  12. Date: Sat, 12 Dec 1992 19:34:44 GMT
  13. Lines: 50
  14.  
  15. Leslie Mikesell (les@chinet.chi.il.us) wrote:
  16. : [trying to set up a mailbox with read access for everybody but 
  17. : edit access only for those "owning" account]
  18.  
  19. : Les Mikesell
  20. :   les@chinet.chi.il.us
  21.  
  22. Well, I thought I had something like this working on my Sys V.2 machine,
  23. but I was wrong.  At least with the current [2.4 PL13] version of elm.  
  24.  
  25. My machine is pretty much limited to a very limited number
  26. of highly trusted users, so I'd played around
  27. with the default mail file permissions for my own convenience:
  28. total 1013
  29. -rw-rw----  1 kak     mail      39156 Dec 12 07:26 kak
  30. -rw-rw-rw-  1 netnews mail       8007 Dec  9 23:18 netnews
  31. -rw-rw-r--  1 root    mail       1318 Dec 12 13:53 root
  32. -rw-rw-rw-  1 uucp    mail      56931 Dec 12 04:00 uucp
  33.  
  34. Evidently, the permissions on root allow reading AND editing
  35. on my sgid mail elm. 
  36.  
  37. Well, sounds like I could:
  38.     A. turn off sgid permissions, (probably requiring reconfig/compile)
  39.     B. track down the mailbox writing code, and either
  40.        encapsulate that with permissions checking code, or
  41.        switch back to the user's normal gid.   This second
  42.        won't work on this system, I don't think I can then
  43.        switch to the egid again.
  44.  
  45.    Obviously, hand-checking the permissions involves some
  46.    os-specific code, but is probably a useful thing to have.
  47.    (for example, such may allow mail security of some type
  48.    on systems that don't really support it in the filesystem.)
  49.  
  50. Note: removing the other "r" permissions prevents read access to
  51. this mailbox with my sgid elm.  The following permissions don't work either:
  52.  
  53.    4 -rw--w-r--  1 root    mail       1629 Dec 12 14:13 /usr/mail/root
  54.  
  55. [Not that I recommend making root mailbox readable to the world anyway,
  56. but you get the idea.]
  57. I suspect that I need some code or option change to get the security right.
  58. Right now, it looks like the other-read bit controls all access.
  59. Probably, the file-reading and file-writing should be separately
  60. encapsulated for this to work right.
  61.  
  62. Kris A. Kugel    908-842-2707
  63. hico2!kak    kak@hico2.westmark.com
  64.  
  65.