From: "Dmitry V. Levin" <ldv@alt-linux.org>
To: devel@altlinux.ru
Subject: Re: [devel] Fw: Re: CHROOT with OpenLDAP
Date: Tue, 19 Feb 2002 12:02:06 +0300
Message-ID: <20020219090206.GD29316@ldv.office.alt-linux.org> (raw)
In-Reply-To: <20020219113159.5bd877e6.vserge@menatepspb.msk.ru>
[-- Attachment #1: Type: text/plain, Size: 1446 bytes --]
On Tue, Feb 19, 2002 at 11:31:59AM +0300, Volkov Serge wrote:
> > > Дима как ты смотришь на такую реализацию для работы утилит
> > >
> > > Ниже ответ Координатора проекта OpenLDAP.
> > >
> > > Я предложил использовать еще один файл, а курт предлагает внешним утилитам делать chroot и работать в нем
> > > как ты считаешь имеет смысл такая реализация
> >
> > А всегда ли эти утилиты запускаются рутом?
> > Надо иметь в виду, что chroot(2) - это привилегированный вызов.
>
> Вообщето да, но если предположить что есть администратор сервера LDAP, которому разрешено только работать только с файлами LDAP сервера тогда вызовы должны бать не от превелигированного пользователя в этом случае я не знаю как правильно выйти из положения посоветуй ???
1. Не использовать chroot(2)
Это может потребовать усилий по переработке кода утилит.
2. Использовать специальный wrapper.
Этот wrapper должен быть доступен по запуску только администратор
сервера LDAP, и chroot'иться только в разрешенный каталог.
К сожалению, это увеличит кол-во suid-root программ.
Regards,
Dmitry
+-------------------------------------------------------------------------+
Dmitry V. Levin mailto://ldv@alt-linux.org
ALT Linux Team http://www.altlinux.com/
Fandra Project http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
prev parent reply other threads:[~2002-02-19 9:02 UTC|newest]
Thread overview: 4+ messages / expand[flat|nested] mbox.gz Atom feed top
2002-02-19 6:47 Volkov Serge
2002-02-19 7:46 ` Dmitry V. Levin
2002-02-19 8:31 ` Volkov Serge
2002-02-19 9:02 ` Dmitry V. Levin [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20020219090206.GD29316@ldv.office.alt-linux.org \
--to=ldv@alt-linux.org \
--cc=devel@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git