[sisyphus] chroot

[Dmitry V. Levin]

On Mon, Sep 23, 2002 at 12:54:02PM +0400, Dmitry E. Oboukhov wrote:
> >>>>Объясните плз смысл запихивания сервисов под сабж.
> >>>>На ядре 2.4 вроде без проблемм из под сабжа можно
> >>>>
> >>>Что значит "вроде без проблем"?
> >>>
> >>пролетала тут недавно ссылка алгоритма выхода из под сабжа,
> >>я ее проглядывал, достаточно подробный алгоритм...
> 
> [...]
> 
> ссылку сейчас найду, а пока гляньте в архив Community
> там тред с темами
> "Что такое chroot environments"
> тоже довольно подробно алгоритм написан. (автор ASA)
> 
> Смысл в том, что если сервис работает не от рута, зачем его пихать в чрут?
> а если от рута, то из под чрута - легко можно выбраться...

Правильно.
Под чрутизацией понимают помещение в специально сконструированный chroot jail
непривилегированных (или слабопривилегированных процессов).

Я об этом немного рассказывал на семинаре "Свободные программы:
философия, технология, бизнес" более года назад
(http://www.altlinux.ru/index.php?module=articles&action=show&artid=5)

Если чрутизация выполнена некорректно (процесс слишком привилегированный
или имеет недопустимые формы доступа к чувствительным ресурсам), то от нее
не будет никакой пользы.

Когда про какой-то сервис я говорю, что он чрутизирован, то подразумеваю,
что его процессы выполняются в специально сконструированном chroot jail в
непривилегированном виде, достаточном для того, чтобы не иметь теоретической
возможности оттуда выбраться.


--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20020923/7743c5cf/attachment-0011.bin>