chroot i demony

Robert Maron robmar w elina.mimuw.edu.pl
Pon, 23 Lis 1998, 15:27:31 CET


dzieki za odzew, jeszcze pare slow komentarza dopisalem:

On Mon, Nov 23, 1998 at 02:10:02PM +0100, Tomasz Kłoczko wrote:
> W systemie takim jak Linux (obecny 2.0.x i 2.1.x) chroot nie rozwiązuje
> spraw związanych z bezpieczeństwem. Dlaczego ? Ano dlatwgo, że nie ma
> poimplementowanych spraw z securelevel tak jak w *BSD.
> Na wydzielonym systemie plikowym bedziesz miał roota to i tak spowoduje,
> że poprzez bezpośredni dostęp do urządzeń może dostać się do reszty.

ale wlasnie chodzi o to, zeby go tam nie bylo
root ma byc glownie w / :-)

bardzo niewiele demonow _musi_ chodzic za roota,
wole oddzielic te, ktore nie musza od suidow

a co do tych, ktore musza, to wole je miec w chroocie na partycji nodev (z
jajkiem bez ramdysku i modulow ;)

> IMHO o eksperymencie z chroot można by sobie pozwolić w devel ale też nie
> wcześniej niż pojawi się pierwsza używalna dystrybucja.

no jasne... to jednak jest troche pracy

> No i kolejna sprawa .. jeżeli oprogramowanie jest bezpieczne to chroot
> jest w zasadzie nie potrzebny. Owszem w niektórych miejscach wartoby
nie zgadzam sie

> dmuchać na zimne. Przez powyższe chcę tylko powiedzieć tyle, że 
> lepiej skupić się na usuwaniu faktycznych dziur, których już w tym co mamy
> może być kilka. Wymaga to testowania, testowania i jeszcze raz testowania.
warto tez tworzyc mechanizmy utrudniajace wykorzystanie dziur

> Co do strony technicznej. To w zasadzie wystarczyłoby zapewnić, że kilka
> pakietów będzie prawidłowo się relokowało i reszta powinna być już
> kwestoią admina (to czy chce mieć chtooty czy nie). W skład podstawowego
> zestawu wejśćby musiałi glibc z obciętymi niektórymi rzeczami jak NIS czy
> inne, które w chroot nie będą potrzebne.
o, tak sobie to mniej wiecej wyobrazam

robert
-- 
robmar w mimuw.edu.pl                  http://zls.mimuw.edu.pl/~robmar/
- Ty, on leci - stwierdził z zainteresowaniem Smok Zygmunta.
- Ale pionowo - zauważył ponuro Wincenty.



Więcej informacji o liście dyskusyjnej pld-devel-pl