[devel] Fw: Re: CHROOT with OpenLDAP

[Dmitry V. Levin]

On Tue, Feb 19, 2002 at 11:31:59AM +0300, Volkov Serge wrote:
> > > Дима  как ты смотришь на такую реализацию для работы утилит 
> > > 
> > > Ниже ответ Координатора проекта OpenLDAP.
> > > 
> > > Я предложил использовать еще один файл, а курт предлагает внешним утилитам делать chroot и работать в нем 
> > > как ты считаешь имеет смысл такая реализация
> > 
> > А всегда ли эти утилиты запускаются рутом?
> > Надо иметь в виду, что chroot(2) - это привилегированный вызов.
> 
> Вообщето да, но если предположить что есть администратор сервера LDAP, которому разрешено только работать только с файлами LDAP сервера тогда вызовы должны бать не от превелигированного пользователя в этом случае я не знаю как правильно выйти из положения посоветуй ???

1. Не использовать chroot(2)
   Это может потребовать усилий по переработке кода утилит.
2. Использовать специальный wrapper.
   Этот wrapper должен быть доступен по запуску только администратор
   сервера LDAP, и chroot'иться только в разрешенный каталог.
   К сожалению, это увеличит кол-во suid-root программ.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.com/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 232 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20020219/4b4ef4e0/attachment-0001.bin>