[sisyphus] chroot
Dmitry V. Levin
=?iso-8859-1?q?ldv_=CE=C1_altlinux=2Eorg?=
Пн Сен 23 16:14:07 MSD 2002
On Mon, Sep 23, 2002 at 03:41:53PM +0400, Dmitry E. Oboukhov wrote:
> рут в чруте - именно он
> если от него нет защиты, следовательно мы должны избавиться от
> применения рута
Правильно мыслите. :)
Но я об этом уже говорил.
> в приложении вообще. Если приложение не работает под рутом, то оно может
> повредить только то к чему у нее выставлены права (как впрочем и в
> случае с чрутом)
> тут плюсов от применения чрута я не вижу.
> один только аргумент: ломают программу, которая _используя уязвимость
> другой_
> получает рута - но это сомнительная польза от чрута (по сравнению со вредом
> от его изпользования)
Напротив - это очень распротраненная на практике 2-ходовая схема:
1. remote non-root vulnerability дает потенциальному злоумышленнику права
непривилегированного пользователя в системе.
2. local root vulnerability дает ему права рута.
> в случае пользования чрута есть шансы того, что ошибка расстановки прав
> останется
> незамеченной, а в случае отказа от него - придется очень внимательно
> этот вопрос
> прорабатывать.
Не только. С помощью chroot jail вы можете обезопасить систему от
зачрутенного сервиса гораздо надежнее, чем без использования чрутизации.
Впрочем, об этом уже было сказано достаточно.
--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20020923/0be5e6ae/attachment-0011.bin>
Подробная информация о списке рассылки Sisyphus