Re: chroot, security, etc
- To: Debian-Russian <debian-russian@lists.debian.org>
- Subject: Re: chroot, security, etc
- From: Daniel Ginsburg <dg@warpsolutions.com>
- Date: Fri, 1 Jun 2001 09:15:11 +0400
- Message-id: <[🔎] 20010601091511.E1937@cloud.warpsolutions.ru>
- Mail-followup-to: dg, Debian-Russian <debian-russian@lists.debian.org>
- In-reply-to: <003f01c0ea5f$b6c80b50$580aa8c0@tvmaxima.perm.ru>; from victor@tvmaxima.perm.ru on Fri, Jun 01, 2001 at 10:57:16AM +0500
- References: <003b01c0ea50$fa2e8590$580aa8c0@tvmaxima.perm.ru> <20010601073457.A1937@cloud.warpsolutions.ru> <001601c0ea55$d1029120$580aa8c0@tvmaxima.perm.ru> <20010601075211.C1937@cloud.warpsolutions.ru> <003501c0ea5c$afca3790$580aa8c0@tvmaxima.perm.ru> <20010601084349.D1937@cloud.warpsolutions.ru> <003f01c0ea5f$b6c80b50$580aa8c0@tvmaxima.perm.ru>
On Fri, Jun 01, 2001 at 10:57:16AM +0500, Victor Vislobokov wrote:
> > > Понятно. Тогда и chroot не спасет. Тем более не вижу смысла делать
> > > эти навороты.
> > >
> >
> > Смысл есть.
> >
> > Это только рут может подгадить в chroot'е. Обычный узер не может. С другой
> > стороны у обычного узера гораздо больше шансов получить дополнительные
> > привилегии, если он находится вне довольно бедного софтом chroot'а.
> >
> > Естественно, chroot - не панацея. Он не отменяет других мер безопасности,
> > но и лишним не является.
>
> Тогда надо подходить с оценкой "трудозатраты - эффективность". Так
> вот
> пока я вижу, что первое очень велико, а второе довольно мало.
>
IMO, в ряде случаев оно того стоит. bind без chroot -- деньги на ветер :)
Впрочем, никто никого не насилует. Каждый оценивает свои риски
самостоятельно.
--
dg
Reply to: