bind chroot

Robert Luberda robert w pingu.ii.uj.edu.pl
Śro, 30 Sie 2000, 18:00:58 CEST 

[środa, 30 sierpień 2000], Jan Rekorajski napisał(a):

Witam!

Nie jestem związany z PLD (chociaż od czasu do czasu 
pakiety PLD przekompilowuję i instaluję na RH), ale mam 
nadzieję, że nie będziecie mi mieli za złe jeśli wtrącę swoje 3
grosze po przejrzeniu pakietu bind-chroot-8.2.2_P5-19.i386.rpm :) 

> No to wyjaśniam.
> Zrobiłem chmod -R named.named /var/lib/named bo mi się nie chce za każdym
> razem zgadywać CO trzeba zmienić. 

Z mioch doświadczeń wynika, że named potrzebuje praw do
zapisu w katalogu zawierającym strefy secondary oraz w tym
 określonym opcją directory w named.conf. Chociaż co do tego drugiego to
nie jestem do konca pewien, czy musi być zapisywalny przez nameda.
 Zdaje się, że dałem tam prawa zapisu namedowi tylko po to by mógł 
sobie utworzyć named.dump, gdy dostanie SIGINT.


> Jak dotąd (przed moimi zmianami) _zawsze_
> musiałem ten myk wykonać żeby bind raczył ruszyć. Poza tym gdzie problem?
> Przecież to co siedzi w /var/lib/named i tak inetresuje tylko nameda, a skoro
> named chodzi jako user named to niech ma.

Zauważ, że w /etc/rc.d/init.d/named-chroot uruchamiasz (jako root!)
/var/lib/named/chroot/usr/sbin/named, do którego user named może
zapisywać!

Btw. W ogóle po co w chroocie umieszczać plik /usr/sbin/named???
Przecież /usr/sbin/named uruchomiony przez usera named nie będzie mógł
sobie zbindować portu 53.

Natomiast /usr/sbin/named-xfer jest tam potrzebny, by named mógł sobie 
secondary zonę ściągnąć.


> 
> A co do chroot - po pierwsze u mnie działa (pakiet bind-chroot). Po drugie
> dlatego jest wszystko named.named żeby skript kiddie mógł mi skoczyć
> jak się włamie. Gdy jedynym użytkownikiem w chtoocie jest nie-root
> (tu named) to taki czaker nie ma szans z tego chroota wyleźć.
 
Czyli jeśli właścicielem jakiegoś pliku w chrootowanym środowisku
jest root (i ten plik nie ma suida), to proces chodzący nie jako root, 
może wyleźć z chroota?

> 
> Kloczek - bind naprawdę strasznie się burzy jak dostaje pliki root.*, już
> mi parę razy nie wstał tylko przez to. A nawet jak ktoś pozamazuje, to
> co stracę? binarki? - rpm -Uvh bind-chroot

Cały system możesz stracić... 

W każdym razie jakiś czas temu instalowałem nameda - ze zwykłych
redhatowskich rpm-ów, chrootowałem go i - działa.
Konfiguracja jest mniej więcej taka:
/var/named 2775 root.named
/var/named/slave 775 named.named (pliki w tym katalogu należą do nameda)
/var/run 775 named.named (bo named tam wrzuca named.pid)
Pozostałe pliki i katalogi należą do roota.


Pozdrawiam

Robert

-- 
Robert Luberda
robert w pingu.ii.uj.edu.pl

Więcej informacji o liście dyskusyjnej pld-devel-pl