grsec a chroot

Rafał Słoniewski elio w tkk.net.pl
Śro, 16 Lip 2003, 10:21:26 CEST 

[root w elchupacabra ncpfs]# mount |grep jail
/dev/sdb1 on /home/jail type xfs (rw)
/proc on /home/jail/proc type proc (rw)
[root w elchupacabra ncpfs]# ps aux |grep seti
elio      2972 76.2  2.7 16912 14176 ?       RN   Jul15 744:28 setiathome
root     29862  0.0  0.1  1696  668 pts/9    S    10:16   0:00 grep seti
[root w elchupacabra ncpfs]# chroot /home/jail/
[root w elchupacabra /]# ps aux |grep seti
#500      2972 76.2  2.7 16912 14176 ?       RN   Jul15 744:34 setiathome
root     29880  0.0  0.1  1696  668 ?        S    08:16   0:00 grep seti
[root w elchupacabra /]# kill -9 2972
[root w elchupacabra /]# ps aux |grep seti
root     29890  0.0  0.1  1692  660 ?        S    08:16   0:00 grep seti
[root w elchupacabra /]# exit
[root w elchupacabra ncpfs]# ps aux |grep seti
root     29899  0.0  0.1  1692  660 pts/9    S    10:16   0:00 grep seti
[root w elchupacabra ncpfs]#

Dlaczego zatem można kilować procesy będące na zewnątrz chroota mimo iż w
jajku wkompilowana jest obsługa grsecurity z opcją
[*] Chroot jail restrictions
  [*]    Protect outside processes
Tak jaby było to ignorowane. Co dziwne acle gradm działają bez zarzutu.
Czegoś zapomniałem? Coś niedopatrzyłem? Czy może ta opcja nie odnosi się do
chroota jako do samego programu?
Druga kwestia dlaczego będąc pod chrootem można zobaczyć wszystkie procesy?
Trzeba inaczej zamontować proc dla chroota?
Nawet bez montowania proc i tak można ubić process.

[root w elchupacabra ncpfs]# mount |grep jail
/dev/sdb1 on /home/jail type xfs (rw)
/proc on /home/jail/proc type proc (rw)
[root w elchupacabra ncpfs]# umount /home/jail/proc
[root w elchupacabra ncpfs]# mount |grep jail
/dev/sdb1 on /home/jail type xfs (rw)
[root w elchupacabra ncpfs]# ps aux |grep seti
elio     30405 93.4  2.7 16784 14396 pts/4   RN   10:20   0:19 setiathome
root     30424  0.0  0.1  1692  656 pts/9    S    10:20   0:00 grep seti
[root w elchupacabra ncpfs]# chroot /home/jail
[root w elchupacabra /]# ps aux |grep seti
Error: /proc must be mounted
  To mount /proc at boot you need an /etc/fstab line like:
      /proc   /proc   proc    defaults
  In the meantime, mount /proc /proc -t proc
[root w elchupacabra /]# kill -9 30405
[root w elchupacabra /]# exit
[root w elchupacabra ncpfs]# ps aux |grep seti
root     30446  0.0  0.1  1692  656 pts/9    S    10:21   0:00 grep seti
[root w elchupacabra ncpfs]#

Da się to jakoś obejść? Zmusić aby działało tak jak ja chcem?
--
    Rafał Słoniewski alias Elio Elephant  elio w tkk.net.pl
phone : +48 609 947142 +48 504 027073 +48 94 3484314
 gg: 270072 Sys & net admin tkk.net.pl seven.wmc.com.pl
                     DOCSIS Administrator Cable TV
       TKK POLAND 75-352 Koszalin Kotarbińskiego 3

Więcej informacji o liście dyskusyjnej pld-users-pl