From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <ldv@alt-linux.org>
Date: Tue, 19 Feb 2002 12:02:06 +0300
From: "Dmitry V. Levin" <ldv@alt-linux.org>
To: devel@altlinux.ru
Subject: Re: [devel] Fw: Re: CHROOT with OpenLDAP
Message-ID: <20020219090206.GD29316@ldv.office.alt-linux.org>
Mail-Followup-To: devel@altlinux.ru
References: <20020219094757.4f754220.vserge@menatepspb.msk.ru> <20020219074617.GD27155@ldv.office.alt-linux.org> <20020219113159.5bd877e6.vserge@menatepspb.msk.ru>
Mime-Version: 1.0
Content-Type: multipart/signed; micalg=pgp-sha1;
	protocol="application/pgp-signature"; boundary="BI5RvnYi6R4T2M87"
Content-Disposition: inline
In-Reply-To: <20020219113159.5bd877e6.vserge@menatepspb.msk.ru>
X-fingerprint: 9658 398D 181B 1200 8FC5  26B8 F6F8 846B C1E2 3429
Sender: devel-admin@altlinux.ru
Errors-To: devel-admin@altlinux.ru
X-BeenThere: devel@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: devel@altlinux.ru
List-Help: <mailto:devel-request@altlinux.ru?subject=help>
List-Post: <mailto:devel@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=subscribe>
List-Id: <devel.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/devel/>
Archived-At: <http://lore.altlinux.org/devel/20020219090206.GD29316@ldv.office.alt-linux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

--BI5RvnYi6R4T2M87
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

On Tue, Feb 19, 2002 at 11:31:59AM +0300, Volkov Serge wrote:
> > > Дима  как ты смотришь на такую реализацию для работы утилит 
> > > 
> > > Ниже ответ Координатора проекта OpenLDAP.
> > > 
> > > Я предложил использовать еще один файл, а курт предлагает внешним утилитам делать chroot и работать в нем 
> > > как ты считаешь имеет смысл такая реализация
> > 
> > А всегда ли эти утилиты запускаются рутом?
> > Надо иметь в виду, что chroot(2) - это привилегированный вызов.
> 
> Вообщето да, но если предположить что есть администратор сервера LDAP, которому разрешено только работать только с файлами LDAP сервера тогда вызовы должны бать не от превелигированного пользователя в этом случае я не знаю как правильно выйти из положения посоветуй ???

1. Не использовать chroot(2)
   Это может потребовать усилий по переработке кода утилит.
2. Использовать специальный wrapper.
   Этот wrapper должен быть доступен по запуску только администратор
   сервера LDAP, и chroot'иться только в разрешенный каталог.
   К сожалению, это увеличит кол-во suid-root программ.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.com/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

--BI5RvnYi6R4T2M87
Content-Type: application/pgp-signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE8chSO9viEa8HiNCkRAlCEAJ9VcI2NEKYWgMm824sNqUH+twc0cgCfd65S
VJsgglZOaE/HYEBrOJQIfTM=
=kWVH
-----END PGP SIGNATURE-----

--BI5RvnYi6R4T2M87--