Re: Chrooted-daemons
Victor Wagner <vitus@ice.ru> writes:
> On 21 May 2001, Peter Novodvorsky wrote:
>
> > From: Peter Novodvorsky <nidd@altlinux.ru>
> > Subject: Re: Chrooted-daemons
> >
> > Привет!
> >
> > Victor Wagner <vitus@ice.ru> writes:
> >
> > > > Возникла необходимость в chrooted-daemons, например bind, postfix,
> > > > postgress - но что то ненашел ни одного упоминания данных пакетов,
> > > ^^^^^^^^
> > > И ты туда же! Мне долго пытались объяснить в Alt Linux team, зачем
> > > собирать в chrooted окружении базу данных, но так и не смогли.
> > > Может ты мне объяснишь.
> > >
> > > По идее, когда на машине работает сервер базы данных, то основную
> > > ценность на этой машине представляет именно содержимое базы.
> >
> > IMO ошибка в этом предложении. Иногда (не всегда, но бывает) на
> > сервере важны не только данные в базе. Например, представим,
> > что на ftp-master.debian.org крутится postgres, чтобы обеспечивать
> > этот ftp архив. Ну как?
>
> Ну что как? Этот postgres крутится себе, взаимодействуя со всяческими
> программами, обслуживающими архив, и наружу не торчит. Какой смысл
> его chroot-ить?
Ну допустим решили сделать web frontend, который обращалося бы к этой
базе данных. Мне кажется, что желание чрутить psql находться
в рамках нормальной паранойи.
> Может ты еще и cron будешь chroot-ить?
Не вопрос.
> Гораздо важнее было бы chroot-ить apache, но почему-то в Castle
> этого не делают.
Я думаю, что и это будет. Вообще, это довольно сложно.
--
Peter Novodvorsky http://www.altlinux.ru/ AltLinux Team, Russia
Debian.Org http://debian.org/~nidd
Debian --- no need to wait for tomorrow.
Reply to: