chroot

[Robert Richard George 'reptile' Wal]

On 98.11.25 Krzysztof G. Baranowski pressed the following keys:

> On Wed, 25 Nov 1998, Robert Richard George 'reptile' Wal wrote:
> > Moja pytanie brzmi: czy ktoś widzi jakieś dziury w tym rozumowaniu?
> Nope, ale trzeba pamietac, zeby samego chroota tez odpowiednio
> zabezpieczyc. Bo jak juz komus uda sie zdobyc roota w chroocie,
> to calej reszcie mozna po prostu zapomniec.

Właśnie coś mnie naszło. To troszkę paranoiczne, ale po kolei i
systematycznie. Taki coś byłby na osobnej partycji nodev. Jądro bez supportu
dla modułów i ramdysku, jak ktoś już zasugerował. Czy root, bez żadnych
zabawek typu /dev/kmem i bez dokładania modułów do jądra ma jakąś metodę na
czytanie i (co ważniejsze) pisanie do pamięci kernela, tak żeby urządzenie
nagle było przekonane, że jest podmontowane, albo żeby proces nagle doznał
olśnienia i dowiedział się, że jego rootem już nie jest ,,/dummy'', tylko
,,/''? Znaczy, czy programy w wykonywane jako root na Intelu to już jest
pełen supervisor-mode, czy też kernel chodzi na jeszcze wyzszym poziomie, a
programy roota są po prostu programami jeszcze jednego użytkownika, który
może wywoływać troszkę więcej syscalli i ma troszkę wyższe prawa przy
korzystaniu z filesystemu? Niestety ja znam tylko budowę wewnętrzną procków
m68k i obiecałem sobie kiedyś, że do rodzinki ix86 nigdy się nie dotknę ;)

Gadzinka

PS. Tak, wiem, że mógłbym w celu znalezienia odpowiedzi na to pytanie
zajżeć do źródeł kernela, ale to może za parę lat... Na razie nie bardzo
wiem, jak to w środku działa, ja tylko tego używam ;)

-- 
------------------<Gadzinka>--<http://reptile.eu.org/>--<Cyber Service>--
--[Jraa vfg qnf Ahaafgehpx tvg haq Fybgrezrlre?]-------------------------
--------------------[Wn! Orvureuhaq qnf Bqre qvr Syvccrejnyqg trefchg!]--