Uwe Walter: > Am Freitag, den 04.07.2008, 19:58 +0200 schrieb Jochen Schulz: >> Uwe Walter: > >> IMHO ist ein chroot damit nicht wesentlich besser als vernünftige >> Permissions bzw. ACLs. > > Du sprichst hier auf die Dateisystem-Attribute (lsattr/chattr) an, Ja, und an SELinux. > oder > eher die libpcap? Für letzteres hier noch einen nützlichen Artikel. > > http://www.linux-magazin.de/heft_abo/ausgaben/2008/06/gruenes_licht_fuer_pcaps?category=354 Danke dafür. >> Es ist nur dazu geeignet, innerhalb des chroot >> eine eventuell geringere Angriffsfläche (für local root exploits) zu >> schaffen, als es das komplette System tut. > > Oftmals hilft das natürlich schon, die "unfähigen" Angreifer in ihre > Schranken zu weisen. ACK, daher auch mein leichtes Zurückrudern. Chroots sind nett, wenn sie vorkonfiguriert daherkommen (wie bei Debians Postfix) und keine Probleme verursachen. Selbst ein Programm in ein chroot zu stecken ist aber IMHO selten der Mühe wert. J. -- There is no justice in road accidents. [Agree] [Disagree] <http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature