Názory k článku
Chyba v npm 5.7.0 mění vlastníka adresářů v /

ach jo ... to si nejste schopni po sobě už přečíst ani titulek než něco vydáte?

Ha, ha. Dobře jim tak. DevOps v plné parádě. Spouštět takový sračky jako root může jen slabomyslný jedinec. Děkujenme blbům za geniální instalace typu: "curl https://npmjs.org/install.sh | sudo sh"

"mění vlastníka adresářů v / z root na jarred"

Ja to spis chapu tak ze meni vlastinka z root na vlastnika pod kterym je npm spustene. Tedy pokud npm spusti non-root uzivatel jarred, zmeni se vlastnik na jarred, pokud honzaBonza, zmeni se vlastnik na honzaBonza

A jak ne-root muze zmenit vlastnika adresare v / obvykle vlastnene root-em?

Ehm...

mhepp@linux:/$ id
uid=1000(mhepp) gid=1000(mhepp) skupiny=1000(mhepp),24(cdrom),25(floppy),27(sudo),29(audio),30(dip),44(video),46(plugdev),108(netdev)
mhepp@linux:/$ ls -ld /etc/
drwxr-xr-x 1 root root 4486 úno 23 10:58 /etc/
mhepp@linux:/$ chown mhepp.mhepp /etc/
chown: změnění vlastnictví souboru '/etc/': Operace není povolena
hepp@thrain:/$ ls -ld /etc/
drwxr-xr-x 1 root root 4486 úno 23 10:58 /etc/
mhepp@linux:/$

Proces pustěný pod uživatelem nemůže změnit vlastníka souboru, který patří uživateli root. Takže pokud npm pustím pod uživatelem, tak se nic nestane. Problém může nastat, když si to vyžádá root přístup a já mu ho dám. Potom ale proces neběží pod uživatelem, ale pod root-em.

Kdo je „jarred“?

Kushner, Jar(r)ed Kushner

Na macOS to nastesti neprojde, npm 5.7.0 rovnou padne. Holt ochranu systemu ma Apple promakanejsi nez Linux.

protoze SIP https://support.apple.com/en-us/HT204899