[sisyphus] Re: chroot
Dmitry E. Oboukhov
=?iso-8859-1?q?node_=CE=C1_avanto=2Empei=2Eac=2Eru?=
Пн Сен 23 18:19:02 MSD 2002
Michael Shigorin wrote:
>On Mon, Sep 23, 2002 at 02:56:48PM +0400, Dmitry E. Oboukhov wrote:
>
>
>>Если приложение получает права рута в чруте,
>>то спокойно может из под него вылезти... (почитай тред выше)
>>
>>
>
>выше я доказательства не нашел, в багтраке тоже не припомню.
>
о доказателствах никто не говорил
говорилось о возможности
выше я привел ссылку на описание алгоритма здесь же в рассылке....
урл пока не нашел - но дома посмотрю
но смысл один и тот-же (- поглядите письмо ASA)
- повторное монтирование корневого каталога себе в
чрутовый и (не обязательно) новый чрут в него...
>Это
>я не к тому, что /sd вроде как все же сделал 2.4-ow и кое-где в
>округе его раздают в штатном ядре (создавая проблемы
>пользователям wine ;-) -- и что я "против" видеть в нашем -smp.
>
>
>
>>а если оно в чруте не работает от рута, то имхо достаточно юниксовой
>>системы разграничения прав - тоже не понятно зачем чрут ?
>>
>>
>
>потому как есть world readable objects
>
права - права
и чрут тут не причем...
>
>
>
>>однако тут есть и недостаток - расслабляющее
>>
>>
>
>этого кодом не вылечить.
>
представьте, что нет понятия фаервол - как тогда все бы тщательно
настраивали
доступ к своим серверам ?
Подробная информация о списке рассылки Sisyphus