bind chroot

Jan Rekorajski baggins w pld.org.pl
Śro, 30 Sie 2000, 18:10:41 CEST 

[środa, 30 sierpień 2000], Robert Luberda napisał(a):

> [środa, 30 sierpień 2000], Jan Rekorajski napisał(a):
> 
> Zauważ, że w /etc/rc.d/init.d/named-chroot uruchamiasz (jako root!)
> /var/lib/named/chroot/usr/sbin/named, do którego user named może
> zapisywać!

Ok, binarki trzeba by zmienić na root.

> Btw. W ogóle po co w chroocie umieszczać plik /usr/sbin/named???
> Przecież /usr/sbin/named uruchomiony przez usera named nie będzie mógł
> sobie zbindować portu 53.

/usr/sbin/named jest tam po to że jest zlinkowany statycznie, podobnie
jak named-xfer.

> Natomiast /usr/sbin/named-xfer jest tam potrzebny, by named mógł sobie 
> secondary zonę ściągnąć.
> 
> 
> > 
> > A co do chroot - po pierwsze u mnie działa (pakiet bind-chroot). Po drugie
> > dlatego jest wszystko named.named żeby skript kiddie mógł mi skoczyć
> > jak się włamie. Gdy jedynym użytkownikiem w chtoocie jest nie-root
> > (tu named) to taki czaker nie ma szans z tego chroota wyleźć.
>  
> Czyli jeśli właścicielem jakiegoś pliku w chrootowanym środowisku
> jest root (i ten plik nie ma suida), to proces chodzący nie jako root, 
> może wyleźć z chroota?

W porządku, przesadziłem trochę :)

> > Kloczek - bind naprawdę strasznie się burzy jak dostaje pliki root.*, już
> > mi parę razy nie wstał tylko przez to. A nawet jak ktoś pozamazuje, to
> > co stracę? binarki? - rpm -Uvh bind-chroot
> 
> Cały system możesz stracić... 
> 
> W każdym razie jakiś czas temu instalowałem nameda - ze zwykłych
> redhatowskich rpm-ów, chrootowałem go i - działa.
> Konfiguracja jest mniej więcej taka:
> /var/named 2775 root.named
> /var/named/slave 775 named.named (pliki w tym katalogu należą do nameda)
> /var/run 775 named.named (bo named tam wrzuca named.pid)
 ^^^^^^^^^^^^^^^^^^^^^^^^^ eeee :(

> Pozostałe pliki i katalogi należą do roota.

IMHO wszystko, pi razy uprawnienia do /usr/sbin/* w chroocie jest ok.
BTW, ja to brałem z pakietu bind-chroot z redhat-contrib.

Janek
-- 
Jan Rękorajski            |  ALL SUSPECTS ARE GUILTY. PERIOD!
baggins<at>mimuw.edu.pl   |  OTHERWISE THEY WOULDN'T BE SUSPECTS, WOULD THEY?
BOFH, type MANIAC         |                   -- TROOPS by Kevin Rubio

Więcej informacji o liście dyskusyjnej pld-devel-pl