[sisyphus] /var noexec => chrooted troubles

Dmitry V. Levin =?iso-8859-1?q?ldv_=CE=C1_altlinux=2Eorg?=
Ср Авг 9 21:00:10 MSD 2006


On Wed, Aug 09, 2006 at 06:39:42PM +0400, Sergey Vlasov wrote:
> On Wed, Aug 09, 2006 at 04:56:38PM +0400, Dmitry V. Levin wrote:
> > On Wed, Aug 09, 2006 at 09:15:40AM +0300, Michael Shigorin wrote:
> > > On Wed, Aug 09, 2006 at 03:33:17AM +0400, Aleksey Avdeev wrote:
> > > > > Проверьте ещё, резолвит ли ping, запущенный рутом, а также
> > > > > параметры монтирования.
> > > > Спасибо: дело в noexec на /var было.
> > > 
> > > Наверное, это достаточно важная фича для документирования...
> > > 
> > > 2 ldv: может, в update_chrooted вделать простой тест --
> > > положить в пакет заведомо исполнябельный файлик и звать 
> > > его перед тем, как что-либо делать (не вышло -- внятно
> > > излагать проблему)?
> > 
> > Прикол в том, что внутри /var/resolv не должно быть исполняемых файлов.
> 
> noexec уже довольно давно блокирует не только собственно execve, но и
> mmap с флагом PROT_EXEC - даже в 2.4.x (>= 2.4.22-alt13, в upstream с
> 2.4.25).  Это было сделано, в частности, для блокирования обхода
> noexec через явный вызов /lib/ld-linux.so.2.

Я когда-то backport'ил это изменение на 2.2.25-alt2.

В любом случае, исполняемые файлы внутри /var/resolv вредны.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20060809/15dc9acb/attachment-0003.bin>


Подробная информация о списке рассылки Sisyphus