Re: Chrooted-daemons

To: <vitus@ice.ru>
Subject: Re: Chrooted-daemons
From: Peter Novodvorsky <nidd@altlinux.ru>
Date: 22 May 2001 15:28:58 +0400
Message-id: <7xae45fwqt.fsf@lambda.novdv.ru>
In-reply-to: <Pine.LNX.4.30.0105221425200.18830-100000@party.ice.ru> (Victor Wagner's message of "Tue, 22 May 2001 14:32:57 +0400 (MSD)")
References: <Pine.LNX.4.30.0105221425200.18830-100000@party.ice.ru>

Victor Wagner <vitus@ice.ru> writes:

> On 21 May 2001, Peter Novodvorsky wrote:
> 
> > Ну допустим решили сделать web frontend, который обращалося бы к этой
> > базе данных. Мне  кажется,  что желание чрутить psql находться
> > в рамках нормальной паранойи.
> 
> Мне кажется, что это уже не нормальная паранойя, так как при этом
> либо отрубается существенная функциональность, либо прикладывается
> слишком много усилий. Затратив эти усилия на некоторые другие способы
> повышения безопасности системы, можно добиться существенно больших
> результатов.

Я   же говорил про  web frontend.  Еще это защита от дурака
нечаянно поставившего  postgres. Это  не  Debian, это _ALT_.

> > Не вопрос.
> 
> А как быть с crontab-ами пользователей, скрипты из которых должны
> выполняться в домашних директорих оных пользователей?

Обычным  пользователям  вообще нельзя разрешать пользовать crontab.

> > Я думаю, что и это будет. Вообще, это довольно сложно.
> 
> Проблема в том, что то, chroot-ить апач сложно, новомодные апологеты
> безопасности понимают, а то что сложно chroot-ить полнофункциональную
> базу данных - нет. 

А теперь напиши  тоже  самое Theo de Raadt (незабыв перевести фразу
``новомодные апологеты безопасности'' на английский,  особенно новомодные)
и если можно  переправь ответ сюда. ;-)

> Потому что опыт общения с базами данных для них
> ограничивается mySQL, который исходно крайне ограничен по
> функциональности.

Ваша неправда, сэр. Опыт неограничен mysql.

> Здесь такая же проблема как использовать/неиспользовать суидные программы,
> или в каких случаях ssh не заменяет rsh. 
> Те кто развивают в данных
> вопросах паранойю, обычно обладают крайне ограниченным представлением
> о том, что с результатами их работы можно делать.

Дмтрий Левин является одним из upstreamов ssh, так что он знает, что  с
этим делать. Во-вторых у ALT довольно большое кол-во пользователей и
нареканий на чрутенный psql не приходит.

> Результатом являются совершенно непригодные к нормальному использованию
> системы, такие как редхатовский linuxconf, который обожает лишить
> пользователей возможности слать почту, снеся suid у sendmail-а,
> или мандрейковский графический инсталлятор, который не дает возможности
> поставиться второй системой на диск с Solaris.

Это ни к селу не к городу, я  не вижу прично-следственной связи.

Nidd.

PS. Витус,  мне очень хочется сделать crosspost в mandrake-russian,
все готовы? ;-)

-- 
Peter Novodvorsky     http://www.altlinux.ru/    AltLinux Team, Russia
Debian.Org                                       http://debian.org/~nidd
            Debian  ---  no need to  wait for tomorrow.

Reply to:

References:
- Re: Chrooted-daemons
  - From: Victor Wagner <vitus@ice.ru>

Prev by Date: кто гасит экран?
Next by Date: Re: dvi viewer
Previous by thread: Re: Chrooted-daemons
Next by thread: advanced routing
Index(es):
- Date
- Thread