时间戳

首页 > 解决方案 > rbenv 系统范围的安装导致不安全的操作

ruby - rbenv 系统范围的安装导致不安全的操作

问题描述

我们在我们公司使用瘦客户端,我们有很多用户使用同一个盒子。我按照以下网站上的说明将 rbenv 安装为系统安装;

https://blakewilliams.me/posts/system-wide-rbenv-install

这归结为这些命令

cd /usr/local
git clone git://github.com/sstephenson/rbenv.git rbenv
chgrp -R staff rbenv
chmod -R g+rwxXs rbenv

通过运行最后一行,我们应该能够以系统的任何用户身份安装 gems,该用户属于“staff”组的一部分。我们有两个开发人员属于该组,他们都不能安装 gems。

我们得到错误;

~ % gem install cheat         
/usr/local/rbenv/versions/2.3.5/lib/ruby/2.3.0/rubygems/config_file.rb:332:in `exist?': Insecure operation - exist? (SecurityError)
    from /usr/local/rbenv/versions/2.3.5/lib/ruby/2.3.0/rubygems/config_file.rb:332:in `load_file'
    from /usr/local/rbenv/versions/2.3.5/lib/ruby/2.3.0/rubygems/config_file.rb:198:in `initialize'
    from /usr/local/rbenv/versions/2.3.5/lib/ruby/2.3.0/rubygems/gem_runner.rb:75:in `new'
    from /usr/local/rbenv/versions/2.3.5/lib/ruby/2.3.0/rubygems/gem_runner.rb:75:in `do_configuration'
    from /usr/local/rbenv/versions/2.3.5/lib/ruby/2.3.0/rubygems/gem_runner.rb:40:in `run'
    from /usr/local/rbenv/versions/2.3.5/bin/gem:21:in `<main>'
~ % gem install cheat

如果我从组中删除粘性位,那么他们可以添加 gem,但是如果有人试图删除其他人安装的 gem,这将失败;

~ % chmod -R g-s rbenv

如何允许多个用户从系统范围的 rbenv 安装中安装/卸载 gem?

更新

这是/usr/local/rbenv/versions/2.5.1/lib/ruby/gems/2.5.0/gems目录中的安装示例,如您所见

drwxrwxr-x   5 map7  map7  4.0K Jun  4 15:50 unicode-display_width-1.3.3
drwxrwxr-x   5 andre andre 4.0K May 23 13:22 vcr-3.0.3
drwxrwxr-x   3 map7  staff 4.0K Apr 30 11:01 web-console-3.6.2

我发现的解决方案是

  : cd /usr/local/rbenv/versions/2.5.1/lib/ruby/gems/2.5.0
  : sudo chown -R map7:staff gems
  : sudo chmod -R 775 gems
  : sudo chmod g+s gems

标签: rubypermissionsrubygemsrbenv

解决方案

我查看了 RubyGems 的源代码config_file。您遇到的错误是由于此文件操作尝试读取(此处$HOME/.gem/credentials为硬编码)引起的。

基于此,您可以尝试$HOME/.gem/credentials为一个用户授予 rbenv 读取权限,看看是否允许该用户安装 gem。

但是,向所有用户公开任何称为“凭据”的东西似乎是一个危险的提议。

我的理解是,如果您尝试发布 gems,凭据文件只需要包含真实凭据,但对于大多数安装来说可能是空的。由于这是一台共享机器,您已经期望人们偶尔会践踏彼此的 gem,因此让 rbenv 访问所有 gem 凭据可能对您来说是可以接受的......

直到没有。您提到您“不想在同一台机器上保留两个副本”,但这比看起来要困难得多。每种编程语言都有一个稍微不同的工具来避免Dependency Hell,但许多人都坚持一种模式:每个代码项目都获得其所有依赖项的副本。在我的机器上,我至少有五个由Bundler安装的 Rails 副本,跨越两个或三个版本。我不担心磁盘空间,我很高兴我不必手动整理一千个依赖项。

推荐阅读