From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <ahtoh2@lensoveta.spb.ru>
Content-Type: text/plain;
  charset="koi8-r"
From: AHTOH <ahtoh2@lensoveta.spb.ru>
Organization: SET Corp.
To: sisyphus@altlinux.ru
Subject: Re: [sisyphus] chroot
Date: Mon, 23 Sep 2002 22:05:04 +0400
User-Agent: KMail/1.4.3
References: <20020923084008.GI21933@basalt.office.altlinux.ru> <3D8EFE01.3090807@avanto.mpei.ac.ru> <20020923155834.30D7E2B512@mail.ru.echo.fr>
In-Reply-To: <20020923155834.30D7E2B512@mail.ru.echo.fr>
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Message-Id: <200209232205.04550.ahtoh2@lensoveta.spb.ru>
Sender: sisyphus-admin@altlinux.ru
Errors-To: sisyphus-admin@altlinux.ru
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.0.13
Precedence: bulk
Reply-To: sisyphus@altlinux.ru
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Id: <sisyphus.altlinux.ru>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
List-Archive: <http://altlinux.ru/pipermail/sisyphus/>
Archived-At: <http://lore.altlinux.org/sisyphus/200209232205.04550.ahtoh2@lensoveta.spb.ru/>
List-Archive: <http://lore.altlinux.org/sisyphus/>

23 Сентябрь 2002 16:01, Anton V. Boyarshinov написал:
> On Mon, 23 Sep 2002 15:41:53 +0400

> Не так. Ломают программу, а потом, используя уязвимость другой
> (или даже других) получают root. Или даже не получают root, а
> закачивают небольшой исходник, компилируют и используют для
> распределённых атак или просто как промежутоный пункт для
> атаки на другие сервера. Chroot не защищает от проникновения,
> но позволяет уменьшить тяжесть последствий.

Ну, да. Хотя гораздо хуже, когда утечет важная информация или 
сотрут важные файлы, а пластдарм все же тебя _лично_ касается 
меньше, но тоже плохо.

Мне не дает покоя вопрос почему вообще не запретят под root 
делать некторые операции, например удалять файлы или 
модифицировать их или записывать в определенные места без
исполнения под root определенных действий или ввода пароля.

Слашыл, что такая система есть ввиде патчей к ядру, но ее 
почему-то не применяют в ALTLinux. Возможно это добавит больше 
проблем пользователю. Ведь известно, что усиление безопастности 
обратно пропорциаонально простоте работы.

Мне, например, не нравиться, что если на файле с root:root стоит 
r--r--r--(0444), то все равно root может модифицировать такой 
файл не обращая внимание на read_only.

-- 
Антон, SET RI