On Fri, Feb 20, 2004 at 01:47:13PM +0300, Dmitry V. Levin wrote:
> On Thu, Feb 19, 2004 at 08:43:16PM +0600, Alexey Morozov wrote:
> > 3. suid-root демон
> suid-root или daemon?
/usr/sbin/captive-sandbox-server, который будучи suid-root, обслуживает
в chroot'е запросы на доступ к FS.

> > можно будет пропихнуть в upstream. Вопрос заключается, во-первых, в том,
> > есть ли какие-нибудь уже готовые решения для разделения подобного рода
> > демона на chroot'ящуюся [suid-root] утилиту и собственно,
> > функционального демона.
> Если daemon, то зачем suid-root?
> Если suid-root, то зачем daemon?
Это зависит от смысла, вкладываемого в слово "демон". ssh-agent - демон?
Или просто "программа, запущенная все время жизни пользовательской
сессии"?

У captive есть несколько режимов функционирования. Один из них
предполагает прописывание соответствующей строчки в /etc/fstab, и,
понятное дело, никаких специальных прав на соответствующий файл давать
не нужно. Другой - доступ из cmdline. Третий - из gnome-vfs. Во всех случаях
разборки с собственно MS'овскими драйверами проистекают не напрямую, а через
прокладки в песочнице. Для организации песочницы в первом и втором
случаях требуется chroot для программы, запущенной пользователем

(вопросы раздачи прав на запуск через control я здесь опускаю)


> $ aptbox/apt-cache showpkg libcap.so.1
> Package: libcap.so.1
> Versions:
Как ей _реально_ пользоваться? Где и как сохраняется информация о том,
что данный процесс, запущенный, грубо говоря, с euid > 500, имеет право
сделать chroot? Есть ли внятные доки на этот повод?