From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <3D99638B.7000704@avanto.mpei.ac.ru> Date: Tue, 01 Oct 2002 12:57:47 +0400 From: "Dmitry E. Oboukhov" User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.0.1) Gecko/20020826 X-Accept-Language: ru, en-us, en MIME-Version: 1.0 To: sisyphus@altlinux.ru Subject: Re: [sisyphus] chroot References: <3D8ECC0B.2030200@avanto.mpei.ac.ru> <3D971245.3020909@avanto.mpei.ac.ru> <20020929163215.GA25057@basalt.office.altlinux.ru> <3D995666.6020602@avanto.mpei.ac.ru> <20021001082651.GA11716@basalt.office.altlinux.ru> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Sender: sisyphus-admin@altlinux.ru Errors-To: sisyphus-admin@altlinux.ru X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.0.13 Precedence: bulk Reply-To: sisyphus@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: > > >>root 779 0.0 0.2 1572 708 ? S Sep22 1:09 /sbin/syslog-ng >> >> > >Не знаю, почему люди ставят syslog-ng. >syslogd работает под псевдопользователем (и в readonly >chroot jail, если сконфигурирован). > стоит с момента инсталла мастера - поставил, дальше не задумывался что там стоит? сейчас гляну на syslogd, если он лучше может сделать, чтобы он ставился в дистрибутиве по умолчанию, а syslog-ng - только дополнительно? >>klogd 796 0.0 0.4 1948 1152 ? S Sep22 0:04 /sbin/klogd -c 1 -2 -u klogd -j /var/lib/klogd >> >> > >Работает под псевдопользователем в readonly chroot jail. > прекрасно >>atdaemon 815 0.0 0.2 1300 532 ? S Sep22 0:00 /usr/sbin/atd >> >> > >Работает с эффективными правами псевдопользователя (все равно нужен >как минимум CAP_SETUID в некоторые моменты работы). > то, что ему нужен setuid в некоторые моменты это понятно, но вот почему бы работу крона так же не организовать, ведь по сути at и cron - одно и тоже ;) >>root 832 0.0 0.2 1480 644 ? S Sep22 0:00 crond >> >> > >Нужен как минимум CAP_SETUID. > см. выше >>root 849 0.0 0.3 2076 892 ? S Sep22 0:10 /usr/sbin/xinetd -reuse -remlock >> >> > >Нужен как минимум CAP_SETUID+CAP_NET_BIND_SERVICE. > > тут насколько я понимаю от рута крайне тяжело избавиться - будет либо резкое снижение функциональности, либо обширное расширение прав какой-то группы... >>root 866 0.0 0.4 2504 1260 ? S Sep22 0:07 /usr/sbin/sshd >>root 3414 0.0 0.6 5840 1776 ? S 12:19 0:00 \_/usr/sbin/sshd >> >> > >Нужен root для авторизации пользователей. > проясните пожалуйста допустим я имею логин и пассворд пользователя (мб рута) char *login="vasya"; char *passwd="pupkin"; разве этого недостаточно чтобы сделать программный su? >>root 1309 0.0 0.4 3328 1168 ? S Sep22 0:05 /usr/lib/postfix/master >> >> > >Это управляющий сервер postfix'а; вся основная работа ведется в >компонентах. > > > >>postfix 1324 0.0 0.5 3492 1308 ? S Sep22 0:36 \_ qmgr -l -t fifo -u -c >>postfix 3352 0.0 0.4 3508 1200 ? S 12:10 0:00 \_ pickup -l -t fifo -u -c >>postfix 3370 0.0 0.4 3520 1216 ? S 12:15 0:00 \_ trivial-rewrite -n rewrite -t unix -u -c >>postfix 3399 0.0 0.5 3752 1424 ? S 12:18 0:00 \_ smtpd -n smtp -t inet -u -c -s 3 >>postfix 3400 0.0 0.5 3576 1288 ? S 12:18 0:00 \_ cleanup -t unix -u -c >>postfix 3401 0.0 0.5 4784 1436 ? S 12:18 0:00 \_ local -t unix >>postfix 3403 0.0 0.4 3512 1212 ? S 12:18 0:00 \_ flush -t unix -u -c >> >> > >Компоненты postfix'а; все работают с правами псевдопользователя postfix, >большинство - в специальном chroot jail. > > > >>root 1346 0.0 0.4 3756 1108 ? S Sep22 0:00 squid -D >>squid 1348 0.0 18.5 49112 47584 ? R Sep22 12:21 \_ (squid) -D >>squid 1365 0.0 0.1 1228 268 ? S Sep22 0:01 \_ (unlinkd) >> >> > >Управляющий сервер - root; >все остальные - псевдопользователи. >В принципе, и управляющий сервер можно сконфигурировать работать с правами >псевдопользователя в chroot jail; при этом будет потеряна часть >функциональности. >В принципе, тут есть над чем поработать. > что в функциональности прокси может быть потеряно ? >>root 1366 0.0 0.7 4640 1956 ? S Sep22 0:00 smbd -D >>nobody 6540 0.9 1.1 5204 2892 ? S Sep27 57:01 \_ smbd -D >>root 28447 0.0 1.0 5148 2672 ? S Sep30 0:07 \_ smbd -D >>root 3116 0.0 0.9 5108 2388 ? S 11:19 0:00 \_ smbd -D >>root 3223 0.0 0.9 5112 2488 ? S 11:42 0:00 \_ smbd -D >>root 1373 0.0 0.6 3592 1708 ? S Sep22 0:03 nmbd -D >> >> > >Самба авторизует пользователей. > см выше вопрос про ССШ > > > >>root 1393 0.0 0.1 1232 416 tty1 S Sep22 0:00 /sbin/mingetty tty1 >>root 1394 0.0 0.1 1232 416 tty2 S Sep22 0:00 /sbin/mingetty tty2 >>root 1395 0.0 0.1 1232 416 tty3 S Sep22 0:00 /sbin/mingetty tty3 >> >> > >Нужен CAP_SYS_TTY_CONFIG для vhangup() на терминал. > права доступа ? > > > >>root 1882 0.0 0.5 4212 1504 ? S Sep22 0:00 httpd >>apache 17381 0.0 0.6 4432 1732 ? S Sep29 0:00 \_ httpd >>apache 17382 0.0 0.6 4432 1764 ? S Sep29 0:00 \_ httpd >>apache 17383 0.0 0.6 4440 1748 ? S Sep29 0:00 \_ httpd >>apache 17384 0.0 0.6 4444 1764 ? S Sep29 0:00 \_ httpd >>apache 17444 0.0 0.6 4444 1760 ? S Sep29 0:00 \_ httpd >>apache 17445 0.0 0.7 4456 1804 ? S Sep29 0:00 \_ httpd >>apache 17895 0.0 0.6 4432 1736 ? S Sep29 0:00 \_ httpd >>apache 17896 0.0 0.6 4444 1776 ? S Sep29 0:00 \_ httpd >>apache 17917 0.0 0.6 4444 1784 ? S Sep29 0:00 \_ httpd >>apache 20655 0.0 0.6 4432 1732 ? S Sep29 0:00 \_ httpd >> >> > >Управляющий сервер - root; >все остальные - псевдопользователи. >В принципе, и управляющий сервер можно сконфигурировать работать с правами >псевдопользователя; при этом будет потеряна часть функциональности. > > > опять же какая часть ? сервер он вроде "сам по себе сервер" зачем ему рут ? только для того, чтобы сокеты открывать ?