[sisyphus] chroot

[Dmitry V. Levin]

On Tue, Oct 01, 2002 at 12:57:47PM +0400, Dmitry E. Oboukhov wrote:
> стоит с момента инсталла мастера - поставил, дальше не задумывался
> что там стоит? сейчас гляну на syslogd, если он лучше может сделать,
> чтобы он ставился в дистрибутиве по умолчанию, а syslog-ng - только
> дополнительно?

Думаю, так и будет.
Более того, мне казалось, что так и было. :)

> то, что ему нужен setuid в некоторые моменты это понятно,
> но вот почему бы работу крона так же не организовать, ведь
> по сути at и cron - одно и тоже ;)

Это запланировано на будущее; см. OpenBSD-current.

> >>root       866  0.0  0.4  2504 1260 ?        S    Sep22   0:07 /usr/sbin/sshd
> >>root      3414  0.0  0.6  5840 1776 ?        S    12:19   0:00 \_ /usr/sbin/sshd
> >
> >Нужен root для авторизации пользователей.
> >
> проясните пожалуйста
> 
> допустим я имею логин и пассворд пользователя (мб рута)
> 
> char *login="vasya";
> char *passwd="pupkin";
> разве этого недостаточно чтобы сделать программный su?

Авторизация - это не su (и не только по паролю).

> >>root      1346  0.0  0.4  3756 1108 ?        S    Sep22   0:00 squid -D
> >>squid     1348  0.0 18.5 49112 47584 ?       R    Sep22  12:21  \_ (squid) -D
> >>squid     1365  0.0  0.1  1228  268 ?        S    Sep22   0:01      \_ (unlinkd)
> >
> >Управляющий сервер - root;
> >все остальные - псевдопользователи.
> >В принципе, и управляющий сервер можно сконфигурировать работать с правами
> >псевдопользователя в chroot jail; при этом будет потеряна часть
> >функциональности.
> >В принципе, тут есть над чем поработать.
> >
> что в функциональности прокси может быть потеряно ?

Запуск вспомогательных программ, напр. фильтров.

> >>root      1393  0.0  0.1  1232  416 tty1     S    Sep22   0:00 /sbin/mingetty tty1
> >>root      1394  0.0  0.1  1232  416 tty2     S    Sep22   0:00 /sbin/mingetty tty2
> >>root      1395  0.0  0.1  1232  416 tty3     S    Sep22   0:00 /sbin/mingetty tty3
> >
> >Нужен CAP_SYS_TTY_CONFIG для vhangup() на терминал.
> >
> права доступа ?

Нет, в sys_vhangup стоит явная проверка на CAP_SYS_TTY_CONFIG.
В принципе, можно mingetty оставить только этот CAP...
Можно попробовать, но заметного выигрыша не будет.

> >>root      1882  0.0  0.5  4212 1504 ?        S    Sep22   0:00 httpd 
> >>apache   17381  0.0  0.6  4432 1732 ?        S    Sep29   0:00  \_ httpd 
> >>apache   17382  0.0  0.6  4432 1764 ?        S    Sep29   0:00  \_ httpd 
> >>apache   17383  0.0  0.6  4440 1748 ?        S    Sep29   0:00  \_ httpd 
> >>apache   17384  0.0  0.6  4444 1764 ?        S    Sep29   0:00  \_ httpd 
> >>apache   17444  0.0  0.6  4444 1760 ?        S    Sep29   0:00  \_ httpd 
> >>apache   17445  0.0  0.7  4456 1804 ?        S    Sep29   0:00  \_ httpd 
> >>apache   17895  0.0  0.6  4432 1736 ?        S    Sep29   0:00  \_ httpd 
> >>apache   17896  0.0  0.6  4444 1776 ?        S    Sep29   0:00  \_ httpd 
> >>apache   17917  0.0  0.6  4444 1784 ?        S    Sep29   0:00  \_ httpd 
> >>apache   20655  0.0  0.6  4432 1732 ?        S    Sep29   0:00  \_ httpd 
> >
> >Управляющий сервер - root;
> >все остальные - псевдопользователи.
> >В принципе, и управляющий сервер можно сконфигурировать работать с правами
> >псевдопользователя; при этом будет потеряна часть функциональности.
> >
> опять же какая часть ?
> сервер он вроде "сам по себе сервер" зачем ему рут ?
> только для того, чтобы сокеты открывать ?

Не только сокеты, но и дополнительные модули.


--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20021001/dd898da5/attachment-0011.bin>