[sisyphus] chroot

Dmitry E. Oboukhov =?iso-8859-1?q?node_=CE=C1_avanto=2Empei=2Eac=2Eru?=
Вт Окт 1 12:57:47 MSD 2002 

>
>
>>root       779  0.0  0.2  1572  708 ?        S    Sep22   1:09 /sbin/syslog-ng
>>    
>>
>
>Не знаю, почему люди ставят syslog-ng.
>syslogd работает под псевдопользователем (и в readonly
>chroot jail, если сконфигурирован).
>
стоит с момента инсталла мастера - поставил, дальше не задумывался
что там стоит? сейчас гляну на syslogd, если он лучше может сделать,
чтобы он ставился в дистрибутиве по умолчанию, а syslog-ng - только
дополнительно?

>>klogd      796  0.0  0.4  1948 1152 ?        S    Sep22   0:04 /sbin/klogd -c 1 -2 -u klogd -j /var/lib/klogd
>>    
>>
>
>Работает под псевдопользователем в readonly chroot jail.
>
прекрасно

>>atdaemon   815  0.0  0.2  1300  532 ?        S    Sep22   0:00 /usr/sbin/atd
>>    
>>
>
>Работает с эффективными правами псевдопользователя (все равно нужен
>как минимум CAP_SETUID в некоторые моменты работы).
>
то, что ему нужен setuid в некоторые моменты это понятно,
но вот почему бы работу крона так же не организовать, ведь
по сути at и cron - одно и тоже ;)

>>root       832  0.0  0.2  1480  644 ?        S    Sep22   0:00 crond
>>    
>>
>
>Нужен как минимум CAP_SETUID.
>
см. выше

>>root       849  0.0  0.3  2076  892 ?        S    Sep22   0:10 /usr/sbin/xinetd -reuse -remlock
>>    
>>
>
>Нужен как минимум CAP_SETUID+CAP_NET_BIND_SERVICE.
>  
>
тут насколько я понимаю от рута крайне тяжело избавиться -
будет либо резкое снижение функциональности, либо обширное
расширение прав какой-то группы...

>>root       866  0.0  0.4  2504 1260 ?        S    Sep22   0:07 /usr/sbin/sshd
>>root      3414  0.0  0.6  5840 1776 ?        S    12:19   0:00  \_/usr/sbin/sshd
>>    
>>
>
>Нужен root для авторизации пользователей.
>
проясните пожалуйста

допустим я имею логин и пассворд пользователя (мб рута)

char *login="vasya";
char *passwd="pupkin";
разве этого недостаточно чтобы сделать программный su?

>>root      1309  0.0  0.4  3328 1168 ?        S    Sep22   0:05 /usr/lib/postfix/master
>>    
>>
>
>Это управляющий сервер postfix'а; вся основная работа ведется в
>компонентах.
>
>  
>
>>postfix   1324  0.0  0.5  3492 1308 ?        S    Sep22   0:36  \_ qmgr -l -t fifo -u -c
>>postfix   3352  0.0  0.4  3508 1200 ?        S    12:10   0:00  \_ pickup -l -t fifo -u -c
>>postfix   3370  0.0  0.4  3520 1216 ?        S    12:15   0:00  \_ trivial-rewrite -n rewrite -t unix -u -c
>>postfix   3399  0.0  0.5  3752 1424 ?        S    12:18   0:00  \_ smtpd -n smtp -t inet -u -c -s 3
>>postfix   3400  0.0  0.5  3576 1288 ?        S    12:18   0:00  \_ cleanup -t unix -u -c
>>postfix   3401  0.0  0.5  4784 1436 ?        S    12:18   0:00  \_ local -t unix
>>postfix   3403  0.0  0.4  3512 1212 ?        S    12:18   0:00  \_ flush -t unix -u -c
>>    
>>
>
>Компоненты postfix'а; все работают с правами псевдопользователя postfix,
>большинство - в специальном chroot jail.
>
>  
>
>>root      1346  0.0  0.4  3756 1108 ?        S    Sep22   0:00 squid -D
>>squid     1348  0.0 18.5 49112 47584 ?       R    Sep22  12:21  \_ (squid) -D
>>squid     1365  0.0  0.1  1228  268 ?        S    Sep22   0:01      \_ (unlinkd)
>>    
>>
>
>Управляющий сервер - root;
>все остальные - псевдопользователи.
>В принципе, и управляющий сервер можно сконфигурировать работать с правами
>псевдопользователя в chroot jail; при этом будет потеряна часть
>функциональности.
>В принципе, тут есть над чем поработать.
>
что в функциональности прокси может быть потеряно ?

>>root      1366  0.0  0.7  4640 1956 ?        S    Sep22   0:00 smbd -D
>>nobody    6540  0.9  1.1  5204 2892 ?        S    Sep27  57:01  \_ smbd -D
>>root     28447  0.0  1.0  5148 2672 ?        S    Sep30   0:07  \_ smbd -D
>>root      3116  0.0  0.9  5108 2388 ?        S    11:19   0:00  \_ smbd -D
>>root      3223  0.0  0.9  5112 2488 ?        S    11:42   0:00  \_ smbd -D
>>root      1373  0.0  0.6  3592 1708 ?        S    Sep22   0:03 nmbd -D
>>    
>>
>
>Самба авторизует пользователей.
>
см выше вопрос про ССШ

>
>  
>
>>root      1393  0.0  0.1  1232  416 tty1     S    Sep22   0:00 /sbin/mingetty tty1
>>root      1394  0.0  0.1  1232  416 tty2     S    Sep22   0:00 /sbin/mingetty tty2
>>root      1395  0.0  0.1  1232  416 tty3     S    Sep22   0:00 /sbin/mingetty tty3
>>    
>>
>
>Нужен CAP_SYS_TTY_CONFIG для vhangup() на терминал.
>
права доступа ?

>
>  
>
>>root      1882  0.0  0.5  4212 1504 ?        S    Sep22   0:00 httpd 
>>apache   17381  0.0  0.6  4432 1732 ?        S    Sep29   0:00  \_ httpd 
>>apache   17382  0.0  0.6  4432 1764 ?        S    Sep29   0:00  \_ httpd 
>>apache   17383  0.0  0.6  4440 1748 ?        S    Sep29   0:00  \_ httpd 
>>apache   17384  0.0  0.6  4444 1764 ?        S    Sep29   0:00  \_ httpd 
>>apache   17444  0.0  0.6  4444 1760 ?        S    Sep29   0:00  \_ httpd 
>>apache   17445  0.0  0.7  4456 1804 ?        S    Sep29   0:00  \_ httpd 
>>apache   17895  0.0  0.6  4432 1736 ?        S    Sep29   0:00  \_ httpd 
>>apache   17896  0.0  0.6  4444 1776 ?        S    Sep29   0:00  \_ httpd 
>>apache   17917  0.0  0.6  4444 1784 ?        S    Sep29   0:00  \_ httpd 
>>apache   20655  0.0  0.6  4432 1732 ?        S    Sep29   0:00  \_ httpd 
>>    
>>
>
>Управляющий сервер - root;
>все остальные - псевдопользователи.
>В принципе, и управляющий сервер можно сконфигурировать работать с правами
>псевдопользователя; при этом будет потеряна часть функциональности.
>
>  
>
опять же какая часть ?
сервер он вроде "сам по себе сервер" зачем ему рут ?
только для того, чтобы сокеты открывать ?

Подробная информация о списке рассылки Sisyphus