From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <node@avanto.mpei.ac.ru>
Message-ID: <3D8EFE01.3090807@avanto.mpei.ac.ru>
Date: Mon, 23 Sep 2002 15:41:53 +0400
From: "Dmitry E. Oboukhov" <node@avanto.mpei.ac.ru>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.0.1) Gecko/20020826
X-Accept-Language: ru, en-us, en
MIME-Version: 1.0
To: sisyphus@altlinux.ru
Subject: Re: [sisyphus] chroot
References: <20020923084008.GI21933@basalt.office.altlinux.ru> <3D8ED6AA.7030806@avanto.mpei.ac.ru> <20020923091227.GA24961@basalt.office.altlinux.ru> <3D8EE160.7000506@avanto.mpei.ac.ru> <20020923095313.GB26202@basalt.office.altlinux.ru> <3D8EE562.2030100@avanto.mpei.ac.ru> <11724242829.20020923143828@podlipki.ru> <3D8EF370.5090007@avanto.mpei.ac.ru> <20020923150939.5c04f6f7.avl@l14.ru> <3D8EF8CD.8040602@avanto.mpei.ac.ru> <20020923113137.GA29105@basalt.office.altlinux.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Sender: sisyphus-admin@altlinux.ru
Errors-To: sisyphus-admin@altlinux.ru
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.0.13
Precedence: bulk
Reply-To: sisyphus@altlinux.ru
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Id: <sisyphus.altlinux.ru>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
List-Archive: <http://altlinux.ru/pipermail/sisyphus/>
Archived-At: <http://lore.altlinux.org/sisyphus/3D8EFE01.3090807@avanto.mpei.ac.ru/>
List-Archive: <http://lore.altlinux.org/sisyphus/>

>
>
>Вы опять говорите о "руте в чруте", хотя, как мне показалось, эту тему мы
>уже закрыли.
>
именно (см ниже)

>>применение чрута имхо неоправдано хотябы тем, что в этой рассылке
>>многие считают его пуленепробиваемой защитой. хотя защита эта
>>мягко говоря эфемерна.
>>    
>>
>
>Просьба аргументировать эту позицию.
>Особенно интересно знать, в чем "эфемерность" того подхода, о котором я
>рассказывал только что.
>  
>

рут в чруте - именно он
если от него нет защиты, следовательно мы должны избавиться от 
применения рута
в приложении вообще. Если приложение не работает под рутом, то оно может
повредить только то к чему у нее выставлены права (как впрочем и в 
случае с чрутом)
тут плюсов от применения чрута я не вижу.
один только аргумент: ломают программу, которая _используя уязвимость 
другой_
получает рута - но это сомнительная польза от чрута (по сравнению со вредом
от его изпользования)

в случае пользования чрута есть шансы того, что ошибка расстановки прав 
останется
незамеченной, а в случае отказа от него - придется очень внимательно 
этот вопрос
прорабатывать.