[sisyphus] chroot

Dmitry V. Levin =?iso-8859-1?q?ldv_=CE=C1_altlinux=2Eorg?=
Вт Окт 1 12:26:51 MSD 2002 

On Tue, Oct 01, 2002 at 12:01:42PM +0400, Dmitry E. Oboukhov wrote:
> >Если вы хотите услышать от меня комментарий, то пришлите, пожалуйста,
> >вывод команды
> >
> >$ ps afxuww |egrep "^(`awk -F: '{if ($3<500) print $1}' </etc/passwd 
> >|xargs echo |tr ' ' '|'`)[[:space:]]*"
> 
> вывод достаточно большой получился:
> [/home/dimka] $ ps afxuww |egrep "^(`awk -F: '{if ($3<500) print $1}' 
> </etc/passwd |xargs echo |tr ' ' '|'`)[[:space:]]*"
> root         6  0.0  0.0     0    0 ?        SW   Sep22   0:01 [kupdated]
> root         5  0.0  0.0     0    0 ?        SW   Sep22   0:00 [bdflush]
> root         4  0.0  0.0     0    0 ?        SW   Sep22   0:06 [kswapd]
> root         3  0.0  0.0     0    0 ?        SWN  Sep22   0:06 [ksoftirqd_CPU0]
> root         1  0.0  0.1  1268  484 ?        S    Sep22   0:04 init [3]
> root         2  0.0  0.0     0    0 ?        SW   Sep22   0:00 [keventd]
> root         7  0.0  0.0     0    0 ?        SW<  Sep22   0:00 [mdrecoveryd]
> root       152  0.0  0.0     0    0 ?        SW   Sep22   0:00 [kjournald]

Это kernel threads + init.

> root       779  0.0  0.2  1572  708 ?        S    Sep22   1:09 /sbin/syslog-ng

Не знаю, почему люди ставят syslog-ng.
syslogd работает под псевдопользователем (и в readonly
chroot jail, если сконфигурирован).

> klogd      796  0.0  0.4  1948 1152 ?        S    Sep22   0:04 /sbin/klogd -c 1 -2 -u klogd -j /var/lib/klogd

Работает под псевдопользователем в readonly chroot jail.

> atdaemon   815  0.0  0.2  1300  532 ?        S    Sep22   0:00 /usr/sbin/atd

Работает с эффективными правами псевдопользователя (все равно нужен
как минимум CAP_SETUID в некоторые моменты работы).

> root       832  0.0  0.2  1480  644 ?        S    Sep22   0:00 crond

Нужен как минимум CAP_SETUID.

> root       849  0.0  0.3  2076  892 ?        S    Sep22   0:10 /usr/sbin/xinetd -reuse -remlock

Нужен как минимум CAP_SETUID+CAP_NET_BIND_SERVICE.

> root       866  0.0  0.4  2504 1260 ?        S    Sep22   0:07 /usr/sbin/sshd
> root      3414  0.0  0.6  5840 1776 ?        S    12:19   0:00  \_/usr/sbin/sshd

Нужен root для авторизации пользователей.

> root      1309  0.0  0.4  3328 1168 ?        S    Sep22   0:05 /usr/lib/postfix/master

Это управляющий сервер postfix'а; вся основная работа ведется в
компонентах.

> postfix   1324  0.0  0.5  3492 1308 ?        S    Sep22   0:36  \_ qmgr -l -t fifo -u -c
> postfix   3352  0.0  0.4  3508 1200 ?        S    12:10   0:00  \_ pickup -l -t fifo -u -c
> postfix   3370  0.0  0.4  3520 1216 ?        S    12:15   0:00  \_ trivial-rewrite -n rewrite -t unix -u -c
> postfix   3399  0.0  0.5  3752 1424 ?        S    12:18   0:00  \_ smtpd -n smtp -t inet -u -c -s 3
> postfix   3400  0.0  0.5  3576 1288 ?        S    12:18   0:00  \_ cleanup -t unix -u -c
> postfix   3401  0.0  0.5  4784 1436 ?        S    12:18   0:00  \_ local -t unix
> postfix   3403  0.0  0.4  3512 1212 ?        S    12:18   0:00  \_ flush -t unix -u -c

Компоненты postfix'а; все работают с правами псевдопользователя postfix,
большинство - в специальном chroot jail.

> root      1346  0.0  0.4  3756 1108 ?        S    Sep22   0:00 squid -D
> squid     1348  0.0 18.5 49112 47584 ?       R    Sep22  12:21  \_ (squid) -D
> squid     1365  0.0  0.1  1228  268 ?        S    Sep22   0:01      \_ (unlinkd)

Управляющий сервер - root;
все остальные - псевдопользователи.
В принципе, и управляющий сервер можно сконфигурировать работать с правами
псевдопользователя в chroot jail; при этом будет потеряна часть
функциональности.
В принципе, тут есть над чем поработать.

> root      1366  0.0  0.7  4640 1956 ?        S    Sep22   0:00 smbd -D
> nobody    6540  0.9  1.1  5204 2892 ?        S    Sep27  57:01  \_ smbd -D
> root     28447  0.0  1.0  5148 2672 ?        S    Sep30   0:07  \_ smbd -D
> root      3116  0.0  0.9  5108 2388 ?        S    11:19   0:00  \_ smbd -D
> root      3223  0.0  0.9  5112 2488 ?        S    11:42   0:00  \_ smbd -D
> root      1373  0.0  0.6  3592 1708 ?        S    Sep22   0:03 nmbd -D

Самба авторизует пользователей.

> root      1393  0.0  0.1  1232  416 tty1     S    Sep22   0:00 /sbin/mingetty tty1
> root      1394  0.0  0.1  1232  416 tty2     S    Sep22   0:00 /sbin/mingetty tty2
> root      1395  0.0  0.1  1232  416 tty3     S    Sep22   0:00 /sbin/mingetty tty3

Нужен CAP_SYS_TTY_CONFIG для vhangup() на терминал.

> root      1882  0.0  0.5  4212 1504 ?        S    Sep22   0:00 httpd 
> apache   17381  0.0  0.6  4432 1732 ?        S    Sep29   0:00  \_ httpd 
> apache   17382  0.0  0.6  4432 1764 ?        S    Sep29   0:00  \_ httpd 
> apache   17383  0.0  0.6  4440 1748 ?        S    Sep29   0:00  \_ httpd 
> apache   17384  0.0  0.6  4444 1764 ?        S    Sep29   0:00  \_ httpd 
> apache   17444  0.0  0.6  4444 1760 ?        S    Sep29   0:00  \_ httpd 
> apache   17445  0.0  0.7  4456 1804 ?        S    Sep29   0:00  \_ httpd 
> apache   17895  0.0  0.6  4432 1736 ?        S    Sep29   0:00  \_ httpd 
> apache   17896  0.0  0.6  4444 1776 ?        S    Sep29   0:00  \_ httpd 
> apache   17917  0.0  0.6  4444 1784 ?        S    Sep29   0:00  \_ httpd 
> apache   20655  0.0  0.6  4432 1732 ?        S    Sep29   0:00  \_ httpd 

Управляющий сервер - root;
все остальные - псевдопользователи.
В принципе, и управляющий сервер можно сконфигурировать работать с правами
псевдопользователя; при этом будет потеряна часть функциональности.


--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20021001/0bd8ef7c/attachment-0011.bin>

Подробная информация о списке рассылки Sisyphus