Re: Безопасность chroot
Hello!
On Sunday 30 August 2009 14:44:40 Stanislav Maslovski wrote:
> Ну я бы не сказал, что совсем уж без дела... По ходу спора он свою
> исходную "идею фикс" подкорректировал, так что в результате могло
> выйти нечто приемлемое (не для хостинга, а для тестов).
Почему для хостинга не годится? Вполне подходит, чтобы запрятать
туда нужную версию постгреса, опенофиса и проч. (ну что поделаешь,
если они во всех последующих релизах вечно что-нибудь ломают и
обратной совместимости нет). Вот еще runit "прицепил" для чрутов,
чтобы в продакшен-чруте с администрированием проще было, а в
девелоперских можно было сервисы от имени пользователя легко
запускать и без прав рута (заодно и логи теперь без прав рута
читаются и без добавления пользователя в лишние группы).
Из недоработок: осталось написать "правильный" скрипт для запуска
и остановки чрута - пока что есть проблемы, когда на запущенном из
чрута ssh пользователи "висят" (/dev/pts не отмонтируется). При
остановке сервера sshd клиентские подключения продолжают жить,
если же сделать killall, то и соединения с основной системы убиваются
(вписал пока сразу же их перезапуск на основной, но это криво). В топике
помидорами меня закидали, но нормального решения для управления
процессами в чруте (в т.ч. супервайзером) никто не предложил.
Раньше sshd в чрутах не запускал, и такой проблемы не было, а куда
копать для ее разрешения пока не ясно.
Best regards, Alexey Pechnikov.
http://pechnikov.tel/
Reply to: