From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <ldv@altlinux.ru>
Date: Mon, 23 Sep 2002 13:12:27 +0400
From: "Dmitry V. Levin" <ldv@altlinux.org>
To: ALT Linux Sisyphus mailing list <sisyphus@altlinux.ru>
Subject: Re: [sisyphus] chroot
Message-ID: <20020923091227.GA24961@basalt.office.altlinux.ru>
Mail-Followup-To: ALT Linux Sisyphus mailing list <sisyphus@altlinux.ru>
References: <3D8ECC0B.2030200@avanto.mpei.ac.ru> <20020923082213.GG21933@basalt.office.altlinux.ru> <3D8ED0F2.1080608@avanto.mpei.ac.ru> <20020923084008.GI21933@basalt.office.altlinux.ru> <3D8ED6AA.7030806@avanto.mpei.ac.ru>
Mime-Version: 1.0
Content-Type: multipart/signed; micalg=pgp-sha1;
	protocol="application/pgp-signature"; boundary="AhhlLboLdkugWU4S"
Content-Disposition: inline
In-Reply-To: <3D8ED6AA.7030806@avanto.mpei.ac.ru>
X-fingerprint: 9658 398D 181B 1200 8FC5  26B8 F6F8 846B C1E2 3429
Sender: sisyphus-admin@altlinux.ru
Errors-To: sisyphus-admin@altlinux.ru
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.0.13
Precedence: bulk
Reply-To: sisyphus@altlinux.ru
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Id: <sisyphus.altlinux.ru>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
List-Archive: <http://altlinux.ru/pipermail/sisyphus/>
Archived-At: <http://lore.altlinux.org/sisyphus/20020923091227.GA24961@basalt.office.altlinux.ru/>
List-Archive: <http://lore.altlinux.org/sisyphus/>

--AhhlLboLdkugWU4S
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

On Mon, Sep 23, 2002 at 12:54:02PM +0400, Dmitry E. Oboukhov wrote:
> >>>>Объясните плз смысл запихивания сервисов под сабж.
> >>>>На ядре 2.4 вроде без проблемм из под сабжа можно
> >>>>
> >>>Что значит "вроде без проблем"?
> >>>
> >>пролетала тут недавно ссылка алгоритма выхода из под сабжа,
> >>я ее проглядывал, достаточно подробный алгоритм...
> 
> [...]
> 
> ссылку сейчас найду, а пока гляньте в архив Community
> там тред с темами
> "Что такое chroot environments"
> тоже довольно подробно алгоритм написан. (автор ASA)
> 
> Смысл в том, что если сервис работает не от рута, зачем его пихать в чрут?
> а если от рута, то из под чрута - легко можно выбраться...

Правильно.
Под чрутизацией понимают помещение в специально сконструированный chroot jail
непривилегированных (или слабопривилегированных процессов).

Я об этом немного рассказывал на семинаре "Свободные программы:
философия, технология, бизнес" более года назад
(http://www.altlinux.ru/index.php?module=articles&action=show&artid=5)

Если чрутизация выполнена некорректно (процесс слишком привилегированный
или имеет недопустимые формы доступа к чувствительным ресурсам), то от нее
не будет никакой пользы.

Когда про какой-то сервис я говорю, что он чрутизирован, то подразумеваю,
что его процессы выполняются в специально сконструированном chroot jail в
непривилегированном виде, достаточном для того, чтобы не иметь теоретической
возможности оттуда выбраться.


--
ldv

--AhhlLboLdkugWU4S
Content-Type: application/pgp-signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)

iD8DBQE9jtr79viEa8HiNCkRAor7AJ0X1TeNKZ2hwHXU8TJAaXHeofbQsQCfYrHv
1x2tfm+OmflEjmdHRd/+Dxw=
=qD8T
-----END PGP SIGNATURE-----

--AhhlLboLdkugWU4S--