Re: Безопасность chroot
On Sat, Aug 29, 2009 at 03:11:31PM +0400, Alexey Pechnikov wrote:
> Hello!
>
> On Saturday 29 August 2009 14:43:46 Stanislav Maslovski wrote:
> > On Sat, Aug 29, 2009 at 02:33:34PM +0400, Alexey Pechnikov wrote:
> > > Hello!
> > >
> > > On Saturday 29 August 2009 14:21:35 Stanislav Maslovski wrote:
> > > > Еще одно подтверждение того, что ты действительно собираешься
> > > > запускать процессы от рута в чруте. Еще раз повторю, что про обозначенную
> > > > в сабже тему в таком случае можно смело забыть.
> > >
> > > Ровно так, как можно забыть о безопасности сервера, подключенного к интернет.
> >
> > У тебя весьма оригинальные взгляды на безопасность в целом и на
> > сетевую безопасность в частности. Возвращаясь к топику, я бы
> > рекомендовал тебе для начала прочесть что-нибудь общего плана о том,
> > что же такое чрут. Начни со статьи на википедии:
> > http://en.wikipedia.org/wiki/Chroot
>
> Больше вам нечего сказать? Если вы хотите загаживать основную систему результатами
> разных экспериментов, ваше дело. Если вы хотите опробовать новую систему
> инициализации на основном сервере, рискуя навсегда потерять к нему доступ после
> перезагруки, это ваши проблемы. Но это не значит, что все должны так же "на авось"
> действовать. А раз уж у меня есть разные chroot для разных задач, то мне интересно
> разобраться в этой технологии подробнее.
Так а я о чем - разбирайся. Меньше будет пустого шума в debian-russian.
> Вам не интересно - так ведь никто не
> заставляет. При отмонтированном /proc и у рута в чруте возможности сильно ограничены.
Что помешает руту подмонтировать /proc обратно?
> И уж тем более сбой программы в чруте не повлияет на основную систему, даже если
> эта программа изначальна запущена инит-процессом с рутовыми привелегиями.
"Сколько не говори сладко, во рту слаще не станет".
> Посему постарайтесь по существу говорить.
Чем я и занимаюсь, указывая на твои грубые ошибки (связанные с
недостатком знаний/понимания). Если тебя это раздражает - настрой
procmail.
--
Stanislav
Reply to: