From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <peet@altlinux.ru>
Date: Fri, 23 May 2003 02:45:03 +0400
From: "Peter V. Saveliev" <peet@altlinux.ru>
To: devel@altlinux.ru
Message-Id: <20030523024503.3fed8926.peet@altlinux.ru>
X-Mailer: Sylpheed version 0.8.11 (GTK+ 1.2.10; i586-alt-linux-gnu)
Mime-Version: 1.0
Content-Type: multipart/mixed;
 boundary="Multipart_Fri__23_May_2003_02:45:03_+0400_082ca4d8"
Subject: [devel] Fw: [sisyphus] security_contexts, tcb_unix
Sender: devel-admin@altlinux.ru
Errors-To: devel-admin@altlinux.ru
X-BeenThere: devel@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: devel@altlinux.ru
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=unsubscribe>
List-Id: <devel.altlinux.ru>
List-Post: <mailto:devel@altlinux.ru>
List-Help: <mailto:devel-request@altlinux.ru?subject=help>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=subscribe>
List-Archive: <http://altlinux.ru/pipermail/devel/>
Archived-At: <http://lore.altlinux.org/devel/20030523024503.3fed8926.peet@altlinux.ru/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

This is a multi-part message in MIME format.

--Multipart_Fri__23_May_2003_02:45:03_+0400_082ca4d8
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit

...

По совету Михаила Шигорина, решил запостить сюда тоже (на всякий
случай). А заодно, ещё - пример: http://vserver.vgertech.com/

Если дойдут руки, попробую разобраться с приживлением shadow на сизиф,
тогда, глядишь, и ALT такой же появится. А пока забавно - стоит ALM2.2,
а на нём плодятся дебианчики :)))

-- 
Sincerely, Peter V. Saveliev

E-mail: peet@altlinux.ru
Jabber: peet@jabber.ru


--Multipart_Fri__23_May_2003_02:45:03_+0400_082ca4d8
Content-Type: message/rfc822
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

Return-Path: <sisyphus-admin@altlinux.ru>
Received: from lrn.ru ([62.118.250.6] verified)
  by eltel.net (CommuniGate Pro SMTP 4.0.6)
  with ESMTP id 15790619; Thu, 22 May 2003 22:40:01 +0400
Received: from lrn.ru (localhost.localdomain [127.0.0.1])
	by lrn.ru (Postfix) with ESMTP
	id B9C1448235; Thu, 22 May 2003 22:36:32 +0400 (MSD)
Delivered-To: sisyphus@lrn.ru
Received: from master.altlinux.ru (master.altlinux.ru [62.118.250.235])
	by lrn.ru (Postfix) with ESMTP id C231A4822B
	for <sisyphus@lrn.ru>; Thu, 22 May 2003 22:35:39 +0400 (MSD)
Received: from mysql.eltel.net (int.eltel.net [217.170.94.166])
	by master.altlinux.ru (Postfix) with ESMTP id A95F1E31D8
	for <sisyphus@altlinux.ru>; Thu, 22 May 2003 22:35:39 +0400 (MSD)
Received: from mysql.eltel.net (localhost.localdomain [127.0.0.1])
	by mysql.eltel.net (Postfix) with SMTP id 1D0CF153E
	for <sisyphus@altlinux.ru>; Thu, 22 May 2003 22:35:39 +0400 (MSD)
From: "Peter V. Saveliev" <peet@eltel.net>
To: sisyphus@altlinux.ru
Message-Id: <20030522223538.77690dc8.peet@eltel.net>
Organization: JSC Eltel
X-Mailer: Sylpheed version 0.8.11 (GTK+ 1.2.10; i586-alt-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Subject: [sisyphus] security_contexts, tcb_unix
Sender: sisyphus-admin@altlinux.ru
Errors-To: sisyphus-admin@altlinux.ru
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: sisyphus@altlinux.ru
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Id: <sisyphus.altlinux.ru>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
List-Archive: <http://altlinux.ru/pipermail/sisyphus/>
Date: Thu, 22 May 2003 22:35:38 +0400

...

Хочу спросить, как народ относится к vserver,
http://www.solucorp.qc.ca/miscprj/s_context.hc.

В смысле мнений по безопасности использования и т.д. Судя по версиям
патчей для ядер, проект поддерживается.

Собрал ядро с security_contexts, работает пока без нареканий, вот только
часть патчей с vserver конфликтует - пришлось пока без них.

++ про юзание:

Есть, правда, у него одна загвоздка - там выставлено, что в
security_context, отличном от main, права 000 запрещают доступ даже
root.

А adduser через tcb как раз и использует chmod 000, что приводит к
невозможности создания новых пользователей. Откат на shadow, само собой,
безболезненно не проходит... Поскольку он в сизифе зарезан накорню так,
что и не восстановить толком...

Проявляется только на loopback-devices и lvm, кстати, что, видимо, бага -
должно везде, согласно докам. А lvm - единственный разумый способ
разбежаться с квотированием дискового пространства по серверам.

Потому вопросы:

1) можно ли в сизифе всё же оставить shadow как альтернативную схему?
Не по умолчанию, но не убивая совсем? А кто знает, как - настроит.

2) может, подумать насчёт средств a-la vserver/usermode в сизифе? Из
всего, что, нашёл, vserver показался наиболее удачным решением.

-- 
Sincerely, Peter V. Saveliev

E-mail: peet@eltel.net
Jabber: peet@jabber.ru

_______________________________________________
Sisyphus mailing list
Sisyphus@altlinux.ru
http://altlinux.ru/mailman/listinfo/sisyphus

--Multipart_Fri__23_May_2003_02:45:03_+0400_082ca4d8--