[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Låsa användare till sitt /home

On Mon, Jan 12, 2004 at 11:25:09AM +0100, anders@arnholm.nu wrote:
 
> Jag skulle vilja säga att din säkerhettanke skiljer sig totalt i från
> den dominerade säkerhets tanken i Unix. Bygger du ett chrootat jail så
> stänger du in användarna till att inte komma år installerar
> programvara på den normala vägen.

Jag håller med Anders i allmänhet, med tillägget att det inte är fel
att använda chroot ibland. Till exempel om man har en ftp-tjänst, men
inte vill att ftp-användarna ska kunna komma åt resten av systemet,
eller exekvera annat än vissa specifika program (ls, mkdir m.m).

Problemet när man kommer till mer generella konton är att det är svårt
att göra systemet både begränsat och samtidigt användbart. Det är
nästintill omöjligt att hindra någon från att köra egna program, ens 
i en chroot-miljö. Ivarjefall inte om man har tillgång till att köra
lite mer generella program på burken.

Därför är grundfrågan Anders tar upp intressant. Försök besvara varför
du vill använda chroot. Är det för att skydda data, är det enklaste ju 
att begränsa åtkomsten med grupper och begränsade åtkomsträttigheter. 
Är det för att du inte litar på dina användare, bör du ju fundera på om
du bör dela ut ett konto till dem överhuvudtaget. Och så vidare...

-- 
Fredrik Jonson
Reply to: