[mdk-re] chroot

Dmitry V. Levin =?iso-8859-1?q?ldv_=CE=C1_alt-linux=2Eorg?=
Пн Фев 4 18:14:13 MSK 2002 

On Mon, Feb 04, 2002 at 06:11:00PM +0300, Peter V. Saveliev wrote:
> > [I have no name!@peet dunkey]# ls -l /etc/passwd 
> > -rw-r--r--    1 0        0              41 Feb  4 13:46 /etc/passwd
> > [I have no name!@peet dunkey]# ls -l /lib/libnss_files.so.2 
> > lrwxrwxrwx    1 0        0              21 Feb  4 14:49 /lib/libnss_files.so.2 -> libnss_files-2.2.4.so
> > [I have no name!@peet dunkey]# ls -l /lib/libnss_files-2.2.4.so 
> > -rwxr-xr-x    1 0        0          252890 Dec  5 17:57 /lib/libnss_files-2.2.4.so
> > 
> > записи о dunkey в /etc/passwd и /etc/shadow есть.
> 
> А вот записей о руте там не было. А теперь есть, и при chroot'e он
> выдает: [root на peet dunkey]# . Что понятно, бо chroot я через sudo
> запустил. Сам дурной %) Долго вспоминал, почему же не запустить от
> пользователя, вспомнил:
> 
>        chroot  runs a command with a specified root directory. On
>        many systems only the super-user can do this.
> 
> Это из мана по чруту, и верно, от пользователя Operation not permitted.

Все верно; для осуществления chroot() необходимо наличие у процесса
CAP_SYS_CHROOT.

> Так что все рассосалось, кроме вопроса: так что, никак от пользователя
> не чрутнуться? В общем, не большая беда, скорее, интересно.

Никак. Это ограничение ядра обусловлено очевидной необходимостью, ибо в
противном случае весь смысл chroot() пропадает.

Если это кому-то не очевидно, посмотрите текст доклада
http://www.altlinux.ru/index.php?module=articles&action=show&artid=5
сделанный на семинаре "Свободные программы: философия, технология,
бизнес".


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.com/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 232 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20020204/559b7f77/attachment-0008.bin>

Подробная информация о списке рассылки community