[sisyphus] Re: chroot

Dmitry E. Oboukhov =?iso-8859-1?q?node_=CE=C1_avanto=2Empei=2Eac=2Eru?=
Пн Сен 23 18:19:02 MSD 2002


Michael Shigorin wrote:

>On Mon, Sep 23, 2002 at 02:56:48PM +0400, Dmitry E. Oboukhov wrote:
>  
>
>>Если приложение получает права рута в чруте,
>>то спокойно может из под него вылезти... (почитай тред выше)
>>    
>>
>
>выше я доказательства не нашел, в багтраке тоже не припомню.  
>
о доказателствах никто не говорил
говорилось о возможности
выше я привел ссылку на описание алгоритма здесь же в рассылке....
урл пока не нашел - но дома посмотрю
но смысл один и тот-же (- поглядите письмо ASA)
- повторное монтирование корневого каталога себе в
чрутовый и (не обязательно) новый чрут в него...

>Это
>я не к тому, что /sd вроде как все же сделал 2.4-ow и кое-где в
>округе его раздают в штатном ядре (создавая проблемы
>пользователям wine ;-) -- и что я "против" видеть в нашем -smp.
>
>  
>
>>а если оно в чруте не работает от рута, то имхо достаточно юниксовой
>>системы разграничения прав - тоже не понятно зачем чрут ?
>>    
>>
>
>потому как есть world readable objects
>
права - права
и чрут тут не причем...

>
>  
>
>>однако тут есть и недостаток - расслабляющее
>>    
>>
>
>этого кодом не вылечить.
>
представьте, что нет понятия фаервол - как тогда все бы тщательно 
настраивали
доступ к своим серверам ?





Подробная информация о списке рассылки Sisyphus