From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Tue, 19 Feb 2002 12:02:06 +0300 From: "Dmitry V. Levin" To: devel@altlinux.ru Subject: Re: [devel] Fw: Re: CHROOT with OpenLDAP Message-ID: <20020219090206.GD29316@ldv.office.alt-linux.org> Mail-Followup-To: devel@altlinux.ru References: <20020219094757.4f754220.vserge@menatepspb.msk.ru> <20020219074617.GD27155@ldv.office.alt-linux.org> <20020219113159.5bd877e6.vserge@menatepspb.msk.ru> Mime-Version: 1.0 Content-Type: multipart/signed; micalg=pgp-sha1; protocol="application/pgp-signature"; boundary="BI5RvnYi6R4T2M87" Content-Disposition: inline In-Reply-To: <20020219113159.5bd877e6.vserge@menatepspb.msk.ru> X-fingerprint: 9658 398D 181B 1200 8FC5 26B8 F6F8 846B C1E2 3429 Sender: devel-admin@altlinux.ru Errors-To: devel-admin@altlinux.ru X-BeenThere: devel@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: devel@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: List-Unsubscribe: , List-Archive: Archived-At: List-Archive: List-Post: --BI5RvnYi6R4T2M87 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit On Tue, Feb 19, 2002 at 11:31:59AM +0300, Volkov Serge wrote: > > > Дима как ты смотришь на такую реализацию для работы утилит > > > > > > Ниже ответ Координатора проекта OpenLDAP. > > > > > > Я предложил использовать еще один файл, а курт предлагает внешним утилитам делать chroot и работать в нем > > > как ты считаешь имеет смысл такая реализация > > > > А всегда ли эти утилиты запускаются рутом? > > Надо иметь в виду, что chroot(2) - это привилегированный вызов. > > Вообщето да, но если предположить что есть администратор сервера LDAP, которому разрешено только работать только с файлами LDAP сервера тогда вызовы должны бать не от превелигированного пользователя в этом случае я не знаю как правильно выйти из положения посоветуй ??? 1. Не использовать chroot(2) Это может потребовать усилий по переработке кода утилит. 2. Использовать специальный wrapper. Этот wrapper должен быть доступен по запуску только администратор сервера LDAP, и chroot'иться только в разрешенный каталог. К сожалению, это увеличит кол-во suid-root программ. Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@alt-linux.org ALT Linux Team http://www.altlinux.com/ Fandra Project http://www.fandra.org/ +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. --BI5RvnYi6R4T2M87 Content-Type: application/pgp-signature Content-Disposition: inline -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE8chSO9viEa8HiNCkRAlCEAJ9VcI2NEKYWgMm824sNqUH+twc0cgCfd65S VJsgglZOaE/HYEBrOJQIfTM= =kWVH -----END PGP SIGNATURE----- --BI5RvnYi6R4T2M87--