chroot
Konrad Stepien
konrad w interdata.com.pl
Śro, 25 Lis 1998, 13:16:40 CET
On Wed, 25 Nov 1998, Tomasz Kłoczko wrote:
> On Wed, 25 Nov 1998, Konrad Stepien wrote:
>
> > On Wed, 25 Nov 1998, Robert Richard George 'reptile' Wal wrote:
> >
> > > On 98.11.24 Tomasz Kłoczko pressed the following keys:
> > >
> > > > Wydaje mi sie, że w niektórych przypadkach byłoby możliwe łączeni podwórek
> > > > bez utraty poziomu bezpieczeństawa. Mogę się jednak mylić gdyż nie mam za
> > > > bardzo doświadczenia w uruchamianiu chrootowanych usług (po za ftpd ;).
> > >
> > > Hmm... Mnie właśnie coś podobnego chodzi po głowie od jakichś dwóch
> > > tygodni... Konta dla dummies. Chrooted evnironment, z odtworzoną częścią
> >
> > Ja bym jeszcze sprzągł to z virtualami. W virtual-serwices HOWTO jest
> > nawet wrapper dla inetd. Wtedy też odpada problem z rozróżnieniem
> > luzerów, po prostu jadni mają konta na "prawdziwym" hoscie, a reszta
> > na "facked" (cholera to lepiej nie robić literówki :-))
> >
> > A co do logów, to mam binda w chroocie. Działa to tak, że w środowisku
> > binda jest plik /dev/log i to w zasadzie wszystko. Syslog jest jeden,
> > tan główny i wystarczy.
>
> Dobra to jeszcze tylko pytanie .. czy juz ktoś sprawdził, że po np.:
>
> # echo "3" >/proc/sys/kernel/securelevel
>
> Nie można zmienić atrybutu-append only czy przemontować rw partycji czy
> innych takich które powinny być zabronione na securelevel > 0 ? Bo inaczej
> to jednak pomimo chroot można będzie w przypadku np. dziury klasy tej w
> jaka była niedawno w bind wykonać dosłownie wszystko i całe to
> chrootowanie będzie można sobie OKDR.
>
Na pewno nie można się dobrać do raw-devices (wiem bo sobie raz kuku
tak zrobiłem i musiałem system z bootkietek podnosić). Do do chattrów
to o ile pamiętam to też działa, ale nie mogę teraz sprawdzić, bo
mam to na serwerze produkcyjnym i nie bardzo pragnę go resetować.
Może w nocy sprewdzę.
> Przy okazji pytanie do tych co używają e2compr. Czy po założeniu tego
> patcha na kernel jest on w pełni wyłączlny na poziomie konfiguracji
> kernela ? Jeżeli tak to wrzucę tego patcha do źródeł kernela. Co najwyżej
> binarka kernela nie będzie miała wkompilowanego e2compr.
>
Jak pamiętam to jest wyłączony, ale ostatnio bawiłem się tym w okolicach
2.0.30
--
Konrad Stępień | InterData s.c. http://www.interdata.com.pl
konrad w interdata.com.pl | Łódź al. Kościuszki 3 tel +48+42 639-81-71
Więcej informacji o liście dyskusyjnej pld-devel-pl