Re: [devel] Q: capset after pthread_create (droproot patch for 3proxy)

ALT Linux Team development discussions
 help / color / mirror / Atom feed

From: "Dmitry V. Levin" <ldv@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Subject: Re: [devel] Q: capset after pthread_create (droproot patch for 3proxy)
Date: Mon, 8 Jun 2009 23:52:08 +0400
Message-ID: <20090608195208.GC3316@wo.int.altlinux.org> (raw)
In-Reply-To: <20090608142236.GC8215@ender.fondinvestrk.ru>

[-- Attachment #1: Type: text/plain, Size: 718 bytes --]

On Mon, Jun 08, 2009 at 06:22:37PM +0400, Afanasov Dmitry wrote:
> как я понимаю, capset после pthread_create проставит capabilities только
> для текущего треда, так?

Да.

> вопрос: как постфактум проставить для всех порожденных тредов?
> 
> если никак, то придется drop_root вписывать в пяток лишних файлов.

Про технический аспект Сергей уже написал.  Что касается безопасности, то
лучше выполнить drop root до порождения тредов.  Поскольку потоки обладают
возможностью существенно влиять на поведение других родственных потоков,
может сложиться ситуация, когда, например, один поток ещё выполняется с
правами root, а другой -- уже непривилегированный и обрабатывает запросы
клиентов.

-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

     prev parent reply	other threads:[~2009-06-08 19:52 UTC|newest]

Thread overview: 4+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2009-06-08 14:22 Afanasov Dmitry
2009-06-08 16:25 ` Sergey Vlasov
2009-06-09  6:07   ` Afanasov Dmitry
2009-06-08 19:52 ` Dmitry V. Levin [this message]

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=20090608195208.GC3316@wo.int.altlinux.org \
    --to=ldv@altlinux.org \
    --cc=devel@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git