[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Безопасность chroot

On Sat, Aug 29, 2009 at 03:58:00PM +0400, Alexey Pechnikov wrote:
> Hello!
> 
> On Saturday 29 August 2009 15:23:25 Stanislav Maslovski wrote:
> > > Вам не интересно - так ведь никто не 
> > > заставляет. При отмонтированном /proc и у рута в чруте возможности сильно ограничены.
> > 
> > Что помешает руту подмонтировать /proc обратно?
> 
> Пусть есть запущенный от рута процесс init.

Ты очень любишь менять коней на ходу. Изначально тебя интересовало
несколько иное: а именно, отсылка сигнала процессу init (строго
говоря, там не сигнал отсылается, а /dev/initctl используется, но это
не суть важно) и как ее запретить. Т.е., предполагалось, что в системе
есть некий untrusted процесс, который может этот сигнал послать. Он с
необходимостью должен быть запущен от рута, иначе проблемы нет вообще.

> Как от юзера www-data 
> подмонтировать /proc, воспользовавшись привелегиями процесса init?
> Вы серьезно считаете, что системный init или runit такие дырявые?
> Может, я чего-то не знаю, но мне это кажется очень маловероятным.

А еще ты очень любишь додумывать за собеседника.

> Если есть такая проблема, то придется selinux и проч. использовать, 
> как я уже упоминал в другом сообщении. Но я полагаю, что это не так.

Selinux -- вообще отдельный (на мой взгляд, не очень удачный)
механизм, к чруту прямого отношения не имеющий.

Есть еще механизм capabilities (man capabilities), который позволяет
распределить привилегии более тонко, но чтобы его использовать,
потребуются некие усилия.

-- 
Stanislav
Reply to: