[sisyphus] chroot
Dmitry V. Levin
=?iso-8859-1?q?ldv_=CE=C1_altlinux=2Eorg?=
Вт Окт 1 13:17:11 MSD 2002
On Tue, Oct 01, 2002 at 12:57:47PM +0400, Dmitry E. Oboukhov wrote:
> стоит с момента инсталла мастера - поставил, дальше не задумывался
> что там стоит? сейчас гляну на syslogd, если он лучше может сделать,
> чтобы он ставился в дистрибутиве по умолчанию, а syslog-ng - только
> дополнительно?
Думаю, так и будет.
Более того, мне казалось, что так и было. :)
> то, что ему нужен setuid в некоторые моменты это понятно,
> но вот почему бы работу крона так же не организовать, ведь
> по сути at и cron - одно и тоже ;)
Это запланировано на будущее; см. OpenBSD-current.
> >>root 866 0.0 0.4 2504 1260 ? S Sep22 0:07 /usr/sbin/sshd
> >>root 3414 0.0 0.6 5840 1776 ? S 12:19 0:00 \_ /usr/sbin/sshd
> >
> >Нужен root для авторизации пользователей.
> >
> проясните пожалуйста
>
> допустим я имею логин и пассворд пользователя (мб рута)
>
> char *login="vasya";
> char *passwd="pupkin";
> разве этого недостаточно чтобы сделать программный su?
Авторизация - это не su (и не только по паролю).
> >>root 1346 0.0 0.4 3756 1108 ? S Sep22 0:00 squid -D
> >>squid 1348 0.0 18.5 49112 47584 ? R Sep22 12:21 \_ (squid) -D
> >>squid 1365 0.0 0.1 1228 268 ? S Sep22 0:01 \_ (unlinkd)
> >
> >Управляющий сервер - root;
> >все остальные - псевдопользователи.
> >В принципе, и управляющий сервер можно сконфигурировать работать с правами
> >псевдопользователя в chroot jail; при этом будет потеряна часть
> >функциональности.
> >В принципе, тут есть над чем поработать.
> >
> что в функциональности прокси может быть потеряно ?
Запуск вспомогательных программ, напр. фильтров.
> >>root 1393 0.0 0.1 1232 416 tty1 S Sep22 0:00 /sbin/mingetty tty1
> >>root 1394 0.0 0.1 1232 416 tty2 S Sep22 0:00 /sbin/mingetty tty2
> >>root 1395 0.0 0.1 1232 416 tty3 S Sep22 0:00 /sbin/mingetty tty3
> >
> >Нужен CAP_SYS_TTY_CONFIG для vhangup() на терминал.
> >
> права доступа ?
Нет, в sys_vhangup стоит явная проверка на CAP_SYS_TTY_CONFIG.
В принципе, можно mingetty оставить только этот CAP...
Можно попробовать, но заметного выигрыша не будет.
> >>root 1882 0.0 0.5 4212 1504 ? S Sep22 0:00 httpd
> >>apache 17381 0.0 0.6 4432 1732 ? S Sep29 0:00 \_ httpd
> >>apache 17382 0.0 0.6 4432 1764 ? S Sep29 0:00 \_ httpd
> >>apache 17383 0.0 0.6 4440 1748 ? S Sep29 0:00 \_ httpd
> >>apache 17384 0.0 0.6 4444 1764 ? S Sep29 0:00 \_ httpd
> >>apache 17444 0.0 0.6 4444 1760 ? S Sep29 0:00 \_ httpd
> >>apache 17445 0.0 0.7 4456 1804 ? S Sep29 0:00 \_ httpd
> >>apache 17895 0.0 0.6 4432 1736 ? S Sep29 0:00 \_ httpd
> >>apache 17896 0.0 0.6 4444 1776 ? S Sep29 0:00 \_ httpd
> >>apache 17917 0.0 0.6 4444 1784 ? S Sep29 0:00 \_ httpd
> >>apache 20655 0.0 0.6 4432 1732 ? S Sep29 0:00 \_ httpd
> >
> >Управляющий сервер - root;
> >все остальные - псевдопользователи.
> >В принципе, и управляющий сервер можно сконфигурировать работать с правами
> >псевдопользователя; при этом будет потеряна часть функциональности.
> >
> опять же какая часть ?
> сервер он вроде "сам по себе сервер" зачем ему рут ?
> только для того, чтобы сокеты открывать ?
Не только сокеты, но и дополнительные модули.
--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20021001/dd898da5/attachment-0011.bin>
Подробная информация о списке рассылки Sisyphus