RFF: Katalog domowy uzytkownikół serwisów ... i nie tylko

Tomasz Kłoczko kloczek w rudy.mif.pg.gda.pl
Śro, 14 Maj 2003, 23:08:04 CEST


On Wed, 14 May 2003, Jakub Bogusz wrote:
[..]
> > Katalog jest tu sprawą umowną bo i tak nie jest do niczego używany. Nawet
> > jeżeli takiemu procesowi coś się nieplanowanego wymknie i coś by chciał
> > zapisać to udać mu się to nie w modelowych warunkach niepowinno (najlepiej
> > byłoby odebrać CAPa na operowanie na plikach takim procesom .. tak na
> > wszelki wypadek coby nie próbowały zapisywać nawet mimochodem nawet tam
> > gdzie teoretycznie mogą czyli np. w /tmp).
> 
> Tu nie chodzi tylko o zapis - także o odczyt.
> Proces, który nie musi się dobierać do plików, może być chrootowany
> do pustego katalogu i zrzucać uprawnienia - choćby po to, żeby uniknąć
> wycieku np. listy kont (jeśli to jest usługa sieciowa) przydatnej dla
> spamerów lub ataków brute-force.
> Tak więc użytkownik, do którego $HOME chrootują się procesy nie
> potrzebujące dostępu do plików, powinien mieć to $HOME ustawione na
> pusty katalog, a nie /.

OK. Ale jaki to ma związek z katlogiem domowym ?
Raczej żaden (poprostu) bo to na jaki katalog wykonywany jest chroot()
nie ma związku z $HOME (to są dwie niezalezne od siebie rzeczy).

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*



Więcej informacji o liście dyskusyjnej pld-devel-pl