[room] безопасности

[Michael Shigorin]

On Tue, Sep 12, 2006 at 04:31:19PM +0800, Evgenii Terechkov wrote:
> >> руководство по добавлению поддержки chroot() подскажет?
> > Это смотря какой chroot.
> > early chroot делается без патченья программы.
> > late chroot уже должна уметь делать сама софтина
> А поподробнее где об этом читать? Определения, как делается,
> различия, методика и т.п. Я скорее первое имел ввиду сначала, а
> патченье кода видимо уже второе.

Рассмотрим апач.  Можно его при помощи chroot(1) засунуть весь,
но это обычно практически бессмысленно (если уж, то разумней
в jail или контейнер), поскольку чрут не будет "бедным" в силу
обычной специфики работы веб-сервера и приложений на нём.

Но это шелл.

Можно при помощи e.g. mod_chroot засунуть тогда, когда сам apache
по крайней мере уже взлетел и слинковался со всем, что нужно
(включая то, что нужно модулям).

А это си.  Правда, уже пару-тройку раз сделано.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/