ALT Linux Team development discussions
 help / color / mirror / Atom feed
* [devel] Fw: Re: CHROOT with OpenLDAP
@ 2002-02-19  6:47 Volkov Serge
  2002-02-19  7:46 ` Dmitry V. Levin
  0 siblings, 1 reply; 4+ messages in thread
From: Volkov Serge @ 2002-02-19  6:47 UTC (permalink / raw)
  To: ALT-DEVEL, Dmitry V.Levin

Приветствую

Дима  как ты смотришь на такую реализацию для работы утилит 

Ниже ответ Координатора проекта OpenLDAP.

Я предложил использовать еще один файл, а курт предлагает внешним утилитам делать chroot и работать в нем 
как ты считаешь имеет смысл такая реализация

Утилиты в chroot соответственно не будут копироваться.

Begin forwarded message:

Date: Mon, 18 Feb 2002 13:50:21 -0800
From: "Kurt D. Zeilenga" <Kurt@OpenLDAP.org>
To: "Volkov Serge" <vserge@menatepspb.msk.ru>
Subject: Re: CHROOT with OpenLDAP


At 04:19 AM 2002-02-18, Volkov Serge wrote:
>I think we may add new option SLAPD_CHROOT_DEFAULT_CONFIG = /etc/openldap/slapd-chroot.conf with absalutpath to schemas and bases without option about ACl and TLS.

If anything, the tools could be modified to accept a
command line flag to chroot(3) after opening files
specified on the command line.  Currently though, you
can just execute the tool using chroot(1) w/ appropriate
paths to files (as found in the new root).

Kurt






-- 
With best wishes, Volkov Serge		
Network Administrator/Security Administrator 		





^ permalink raw reply	[flat|nested] 4+ messages in thread

* Re: [devel] Fw: Re: CHROOT with OpenLDAP
  2002-02-19  6:47 [devel] Fw: Re: CHROOT with OpenLDAP Volkov Serge
@ 2002-02-19  7:46 ` Dmitry V. Levin
  2002-02-19  8:31   ` Volkov Serge
  0 siblings, 1 reply; 4+ messages in thread
From: Dmitry V. Levin @ 2002-02-19  7:46 UTC (permalink / raw)
  To: devel

[-- Attachment #1: Type: text/plain, Size: 1336 bytes --]

On Tue, Feb 19, 2002 at 09:47:57AM +0300, Volkov Serge wrote:
> Дима  как ты смотришь на такую реализацию для работы утилит 
> 
> Ниже ответ Координатора проекта OpenLDAP.
> 
> Я предложил использовать еще один файл, а курт предлагает внешним утилитам делать chroot и работать в нем 
> как ты считаешь имеет смысл такая реализация

А всегда ли эти утилиты запускаются рутом?
Надо иметь в виду, что chroot(2) - это привилегированный вызов.

> At 04:19 AM 2002-02-18, Volkov Serge wrote:
> >I think we may add new option SLAPD_CHROOT_DEFAULT_CONFIG = /etc/openldap/slapd-chroot.conf with absalutpath to schemas and bases without option about ACl and TLS.
> 
> If anything, the tools could be modified to accept a
> command line flag to chroot(3) after opening files
> specified on the command line.  Currently though, you

Это разумно в любом случае.

> can just execute the tool using chroot(1) w/ appropriate
> paths to files (as found in the new root).


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.com/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 4+ messages in thread

* Re: [devel] Fw: Re: CHROOT with OpenLDAP
  2002-02-19  7:46 ` Dmitry V. Levin
@ 2002-02-19  8:31   ` Volkov Serge
  2002-02-19  9:02     ` Dmitry V. Levin
  0 siblings, 1 reply; 4+ messages in thread
From: Volkov Serge @ 2002-02-19  8:31 UTC (permalink / raw)
  To: devel

On Tue, 19 Feb 2002 10:46:17 +0300
"Dmitry V. Levin" <ldv@alt-linux.org> wrote:

> On Tue, Feb 19, 2002 at 09:47:57AM +0300, Volkov Serge wrote:
> > Дима  как ты смотришь на такую реализацию для работы утилит 
> > 
> > Ниже ответ Координатора проекта OpenLDAP.
> > 
> > Я предложил использовать еще один файл, а курт предлагает внешним утилитам делать chroot и работать в нем 
> > как ты считаешь имеет смысл такая реализация
> 
> А всегда ли эти утилиты запускаются рутом?
> Надо иметь в виду, что chroot(2) - это привилегированный вызов.

Вообщето да, но если предположить что есть администратор сервера LDAP, которому разрешено только работать только с файлами LDAP сервера тогда вызовы должны бать не от превелигированного пользователя в этом случае я не знаю как правильно выйти из положения посоветуй ???
> 
> > At 04:19 AM 2002-02-18, Volkov Serge wrote:
> > >I think we may add new option SLAPD_CHROOT_DEFAULT_CONFIG = /etc/openldap/slapd-chroot.conf with absalutpath to schemas and bases without option about ACl and TLS.
> > 
> > If anything, the tools could be modified to accept a
> > command line flag to chroot(3) after opening files
> > specified on the command line.  Currently though, you
> 
> Это разумно в любом случае.
> 
> > can just execute the tool using chroot(1) w/ appropriate
> > paths to files (as found in the new root).
> 
> 
> Regards,
> 	Dmitry
> 
> +-------------------------------------------------------------------------+
> Dmitry V. Levin     mailto://ldv@alt-linux.org
> ALT Linux Team      http://www.altlinux.com/
> Fandra Project      http://www.fandra.org/
> +-------------------------------------------------------------------------+
> UNIX is user friendly. It's just very selective about who its friends are.
> 


-- 
With best wishes, Volkov Serge		
Network Administrator/Security Administrator 		





^ permalink raw reply	[flat|nested] 4+ messages in thread

* Re: [devel] Fw: Re: CHROOT with OpenLDAP
  2002-02-19  8:31   ` Volkov Serge
@ 2002-02-19  9:02     ` Dmitry V. Levin
  0 siblings, 0 replies; 4+ messages in thread
From: Dmitry V. Levin @ 2002-02-19  9:02 UTC (permalink / raw)
  To: devel

[-- Attachment #1: Type: text/plain, Size: 1446 bytes --]

On Tue, Feb 19, 2002 at 11:31:59AM +0300, Volkov Serge wrote:
> > > Дима  как ты смотришь на такую реализацию для работы утилит 
> > > 
> > > Ниже ответ Координатора проекта OpenLDAP.
> > > 
> > > Я предложил использовать еще один файл, а курт предлагает внешним утилитам делать chroot и работать в нем 
> > > как ты считаешь имеет смысл такая реализация
> > 
> > А всегда ли эти утилиты запускаются рутом?
> > Надо иметь в виду, что chroot(2) - это привилегированный вызов.
> 
> Вообщето да, но если предположить что есть администратор сервера LDAP, которому разрешено только работать только с файлами LDAP сервера тогда вызовы должны бать не от превелигированного пользователя в этом случае я не знаю как правильно выйти из положения посоветуй ???

1. Не использовать chroot(2)
   Это может потребовать усилий по переработке кода утилит.
2. Использовать специальный wrapper.
   Этот wrapper должен быть доступен по запуску только администратор
   сервера LDAP, и chroot'иться только в разрешенный каталог.
   К сожалению, это увеличит кол-во suid-root программ.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.com/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 4+ messages in thread

end of thread, other threads:[~2002-02-19  9:02 UTC | newest]

Thread overview: 4+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2002-02-19  6:47 [devel] Fw: Re: CHROOT with OpenLDAP Volkov Serge
2002-02-19  7:46 ` Dmitry V. Levin
2002-02-19  8:31   ` Volkov Serge
2002-02-19  9:02     ` Dmitry V. Levin

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git