Re: OpenVZ
Alexander Danilov <alexander.a.danilov@gmail.com> writes:
> Степан Голосунов пишет:
>> Alexander Danilov <alexander.a.danilov@gmail.com> writes:
>>> Dmitry E. Oboukhov пишет:
>>>>>>> А если смонтировать рут с nodev?
>>>>>> То очень многие программы удивятся отсутсвию /dev/null, /dev/zero,
>>>>>> /dev/tty etc. До степени, несовместимой с жизнью.
>>>> AP> Неправда. Удивятся, да еще до степени, несовместимой с жизнью, -
>>>> AP> не многие.
>>>> openssh-server без /dev/null не работает. проверь
>>>>
>>> Ну я уже вроде бы выяснил, что можно примонтировать /dev/ отдельно только с нужными устройствами,
>>> пока ещё никто не доказал, что я неправ.
>>
>> А что-то мешает руту подмонтировать, к примеру, tmpfs и сделать в ней
>> все необходимые устройства?
>
> Это если есть возможность монтировать.
А куда она у рута денется?
> И совсем непонятно, как chroot мог бы
>> защитить от мелких пакостей вида kill -9 1.
>
> Речь шла о выходе из chroot, а не о причинении пакостей, но я полагаю, что и эту проблему можно решить.
При помощи тех средств, которыми это можно решить, можно запретить
руту лезть куда не надо и без chroot...
>> Ну и стандартный способ выхода из чрута описан в man 2 chroot.
>
> А если сделать cd в тот каталог, в котором поток будет корень файловой
> системы, что этот способ сработает?
Так /usr/sbin/chroot этот cd всегда делает. Что никак не мешает выходу
из чрута при помощи
mkdir ("x", 0777);
chroot ("x");
chroot ("../../../../../../../../../../../../../../../..");
execl ("/bin/sh", "/bin/sh", (char *) NULL);
Reply to:
- Follow-Ups:
- Re: OpenVZ
- From: Alexander Danilov <alexander.a.danilov@gmail.com>
- References:
- Re: OpenVZ
- From: Alexey Pechnikov <pechnikov@mobigroup.ru>
- Re: OpenVZ
- From: "Dmitry E. Oboukhov" <unera@debian.org>
- Re: OpenVZ
- From: Alexander Danilov <alexander.a.danilov@gmail.com>
- Re: OpenVZ
- From: Степан Голосунов <stepan@golosunov.pp.ru>
- Re: OpenVZ
- From: Alexander Danilov <alexander.a.danilov@gmail.com>