From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Tue, 1 Oct 2002 12:26:51 +0400 From: "Dmitry V. Levin" To: ALT Linux Sisyphus mailing list Subject: Re: [sisyphus] chroot Message-ID: <20021001082651.GA11716@basalt.office.altlinux.ru> Mail-Followup-To: ALT Linux Sisyphus mailing list References: <3D8ECC0B.2030200@avanto.mpei.ac.ru> <3D971245.3020909@avanto.mpei.ac.ru> <20020929163215.GA25057@basalt.office.altlinux.ru> <3D995666.6020602@avanto.mpei.ac.ru> Mime-Version: 1.0 Content-Type: multipart/signed; micalg=pgp-sha1; protocol="application/pgp-signature"; boundary="a8Wt8u1KmwUX3Y2C" Content-Disposition: inline In-Reply-To: <3D995666.6020602@avanto.mpei.ac.ru> X-fingerprint: 9658 398D 181B 1200 8FC5 26B8 F6F8 846B C1E2 3429 Sender: sisyphus-admin@altlinux.ru Errors-To: sisyphus-admin@altlinux.ru X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.0.13 Precedence: bulk Reply-To: sisyphus@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: --a8Wt8u1KmwUX3Y2C Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit On Tue, Oct 01, 2002 at 12:01:42PM +0400, Dmitry E. Oboukhov wrote: > >Если вы хотите услышать от меня комментарий, то пришлите, пожалуйста, > >вывод команды > > > >$ ps afxuww |egrep "^(`awk -F: '{if ($3<500) print $1}' >|xargs echo |tr ' ' '|'`)[[:space:]]*" > > вывод достаточно большой получился: > [/home/dimka] $ ps afxuww |egrep "^(`awk -F: '{if ($3<500) print $1}' > root 6 0.0 0.0 0 0 ? SW Sep22 0:01 [kupdated] > root 5 0.0 0.0 0 0 ? SW Sep22 0:00 [bdflush] > root 4 0.0 0.0 0 0 ? SW Sep22 0:06 [kswapd] > root 3 0.0 0.0 0 0 ? SWN Sep22 0:06 [ksoftirqd_CPU0] > root 1 0.0 0.1 1268 484 ? S Sep22 0:04 init [3] > root 2 0.0 0.0 0 0 ? SW Sep22 0:00 [keventd] > root 7 0.0 0.0 0 0 ? SW< Sep22 0:00 [mdrecoveryd] > root 152 0.0 0.0 0 0 ? SW Sep22 0:00 [kjournald] Это kernel threads + init. > root 779 0.0 0.2 1572 708 ? S Sep22 1:09 /sbin/syslog-ng Не знаю, почему люди ставят syslog-ng. syslogd работает под псевдопользователем (и в readonly chroot jail, если сконфигурирован). > klogd 796 0.0 0.4 1948 1152 ? S Sep22 0:04 /sbin/klogd -c 1 -2 -u klogd -j /var/lib/klogd Работает под псевдопользователем в readonly chroot jail. > atdaemon 815 0.0 0.2 1300 532 ? S Sep22 0:00 /usr/sbin/atd Работает с эффективными правами псевдопользователя (все равно нужен как минимум CAP_SETUID в некоторые моменты работы). > root 832 0.0 0.2 1480 644 ? S Sep22 0:00 crond Нужен как минимум CAP_SETUID. > root 849 0.0 0.3 2076 892 ? S Sep22 0:10 /usr/sbin/xinetd -reuse -remlock Нужен как минимум CAP_SETUID+CAP_NET_BIND_SERVICE. > root 866 0.0 0.4 2504 1260 ? S Sep22 0:07 /usr/sbin/sshd > root 3414 0.0 0.6 5840 1776 ? S 12:19 0:00 \_/usr/sbin/sshd Нужен root для авторизации пользователей. > root 1309 0.0 0.4 3328 1168 ? S Sep22 0:05 /usr/lib/postfix/master Это управляющий сервер postfix'а; вся основная работа ведется в компонентах. > postfix 1324 0.0 0.5 3492 1308 ? S Sep22 0:36 \_ qmgr -l -t fifo -u -c > postfix 3352 0.0 0.4 3508 1200 ? S 12:10 0:00 \_ pickup -l -t fifo -u -c > postfix 3370 0.0 0.4 3520 1216 ? S 12:15 0:00 \_ trivial-rewrite -n rewrite -t unix -u -c > postfix 3399 0.0 0.5 3752 1424 ? S 12:18 0:00 \_ smtpd -n smtp -t inet -u -c -s 3 > postfix 3400 0.0 0.5 3576 1288 ? S 12:18 0:00 \_ cleanup -t unix -u -c > postfix 3401 0.0 0.5 4784 1436 ? S 12:18 0:00 \_ local -t unix > postfix 3403 0.0 0.4 3512 1212 ? S 12:18 0:00 \_ flush -t unix -u -c Компоненты postfix'а; все работают с правами псевдопользователя postfix, большинство - в специальном chroot jail. > root 1346 0.0 0.4 3756 1108 ? S Sep22 0:00 squid -D > squid 1348 0.0 18.5 49112 47584 ? R Sep22 12:21 \_ (squid) -D > squid 1365 0.0 0.1 1228 268 ? S Sep22 0:01 \_ (unlinkd) Управляющий сервер - root; все остальные - псевдопользователи. В принципе, и управляющий сервер можно сконфигурировать работать с правами псевдопользователя в chroot jail; при этом будет потеряна часть функциональности. В принципе, тут есть над чем поработать. > root 1366 0.0 0.7 4640 1956 ? S Sep22 0:00 smbd -D > nobody 6540 0.9 1.1 5204 2892 ? S Sep27 57:01 \_ smbd -D > root 28447 0.0 1.0 5148 2672 ? S Sep30 0:07 \_ smbd -D > root 3116 0.0 0.9 5108 2388 ? S 11:19 0:00 \_ smbd -D > root 3223 0.0 0.9 5112 2488 ? S 11:42 0:00 \_ smbd -D > root 1373 0.0 0.6 3592 1708 ? S Sep22 0:03 nmbd -D Самба авторизует пользователей. > root 1393 0.0 0.1 1232 416 tty1 S Sep22 0:00 /sbin/mingetty tty1 > root 1394 0.0 0.1 1232 416 tty2 S Sep22 0:00 /sbin/mingetty tty2 > root 1395 0.0 0.1 1232 416 tty3 S Sep22 0:00 /sbin/mingetty tty3 Нужен CAP_SYS_TTY_CONFIG для vhangup() на терминал. > root 1882 0.0 0.5 4212 1504 ? S Sep22 0:00 httpd > apache 17381 0.0 0.6 4432 1732 ? S Sep29 0:00 \_ httpd > apache 17382 0.0 0.6 4432 1764 ? S Sep29 0:00 \_ httpd > apache 17383 0.0 0.6 4440 1748 ? S Sep29 0:00 \_ httpd > apache 17384 0.0 0.6 4444 1764 ? S Sep29 0:00 \_ httpd > apache 17444 0.0 0.6 4444 1760 ? S Sep29 0:00 \_ httpd > apache 17445 0.0 0.7 4456 1804 ? S Sep29 0:00 \_ httpd > apache 17895 0.0 0.6 4432 1736 ? S Sep29 0:00 \_ httpd > apache 17896 0.0 0.6 4444 1776 ? S Sep29 0:00 \_ httpd > apache 17917 0.0 0.6 4444 1784 ? S Sep29 0:00 \_ httpd > apache 20655 0.0 0.6 4432 1732 ? S Sep29 0:00 \_ httpd Управляющий сервер - root; все остальные - псевдопользователи. В принципе, и управляющий сервер можно сконфигурировать работать с правами псевдопользователя; при этом будет потеряна часть функциональности. -- ldv --a8Wt8u1KmwUX3Y2C Content-Type: application/pgp-signature Content-Disposition: inline -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux) iD8DBQE9mVxL9viEa8HiNCkRAn5bAJ9bvMTqCh0KBDEz2ntpppeM+m8YBgCfWAHJ /AD5LaX1cwZacNhWtBa4H+A= =Mh9h -----END PGP SIGNATURE----- --a8Wt8u1KmwUX3Y2C--