chroot
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Śro, 25 Lis 1998, 12:29:02 CET
On Wed, 25 Nov 1998, Konrad Stepien wrote:
> On Wed, 25 Nov 1998, Robert Richard George 'reptile' Wal wrote:
>
> > On 98.11.24 Tomasz Kłoczko pressed the following keys:
> >
> > > Wydaje mi sie, że w niektórych przypadkach byłoby możliwe łączeni podwórek
> > > bez utraty poziomu bezpieczeństawa. Mogę się jednak mylić gdyż nie mam za
> > > bardzo doświadczenia w uruchamianiu chrootowanych usług (po za ftpd ;).
> >
> > Hmm... Mnie właśnie coś podobnego chodzi po głowie od jakichś dwóch
> > tygodni... Konta dla dummies. Chrooted evnironment, z odtworzoną częścią
>
> Ja bym jeszcze sprzągł to z virtualami. W virtual-serwices HOWTO jest
> nawet wrapper dla inetd. Wtedy też odpada problem z rozróżnieniem
> luzerów, po prostu jadni mają konta na "prawdziwym" hoscie, a reszta
> na "facked" (cholera to lepiej nie robić literówki :-))
>
> A co do logów, to mam binda w chroocie. Działa to tak, że w środowisku
> binda jest plik /dev/log i to w zasadzie wszystko. Syslog jest jeden,
> tan główny i wystarczy.
Dobra to jeszcze tylko pytanie .. czy juz ktoś sprawdził, że po np.:
# echo "3" >/proc/sys/kernel/securelevel
Nie można zmienić atrybutu-append only czy przemontować rw partycji czy
innych takich które powinny być zabronione na securelevel > 0 ? Bo inaczej
to jednak pomimo chroot można będzie w przypadku np. dziury klasy tej w
jaka była niedawno w bind wykonać dosłownie wszystko i całe to
chrootowanie będzie można sobie OKDR.
Mowa oczywiście o sytuacji kiedy jest założony Solar patch.
Przy okazji pytanie do tych co używają e2compr. Czy po założeniu tego
patcha na kernel jest on w pełni wyłączlny na poziomie konfiguracji
kernela ? Jeżeli tak to wrzucę tego patcha do źródeł kernela. Co najwyżej
binarka kernela nie będzie miała wkompilowanego e2compr.
kloczek
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl