[devel] chrooted service

Пт Фев 22 23:47:41 MSK 2002

On Fri, Feb 22, 2002 at 10:37:58PM +0300, Dmitry V. Levin wrote:
> On Fri, Feb 22, 2002 at 10:53:32PM +0300, Igor Homyakov wrote:
> > 2 Вопроса:
> > 
> > - если в дистрибутиве средства для зыпуска в chroot демонов, которые не
> > поддерживают такой возможности сами, другими словами есть ли стандарная 
> > "обёртки" для таких случаев или ее надо делать самому ?
> 
> Эта задача, как правило:
> + простая (wrapper на один-два экрана);
> + специфичная (надо затачивать под каждый конкретный сервер);
>
> Впрочем, если придумаете что-нибудь универсальное, будет интересно
> обсудить.
> 
> > - если демон использующий PAM для авторизации запущен chroot, придеться
> > копировать libpam и т.д в его / или есть другие способы ?
> 
> Копировать весь PAM в chroot - это неправильно.
> Аутентификацией должна заниматься не-chroot'ованная часть сервера.

Речь идет о dante последний релиз у меня крутиться уже достаточно давно,
на выходных залью с Сизиф. Он достаточно просто chroot-рутируеться, 
написан "правильно" и root-ом только открывает соединение, но дело в
том что chroot jail в коде не предусмотрен. Предполагаеться что это будет
делат внешний врапер, по этому говорить о не-chroot'рованной части не
приходиться. 

-- 
Igor Homyakov
<homyakov(at)ramax.spb.ru>