* [devel] Fw: Re: CHROOT with OpenLDAP
@ 2002-02-19 6:47 Volkov Serge
2002-02-19 7:46 ` Dmitry V. Levin
0 siblings, 1 reply; 4+ messages in thread
From: Volkov Serge @ 2002-02-19 6:47 UTC (permalink / raw)
To: ALT-DEVEL, Dmitry V.Levin
Приветствую
Дима как ты смотришь на такую реализацию для работы утилит
Ниже ответ Координатора проекта OpenLDAP.
Я предложил использовать еще один файл, а курт предлагает внешним утилитам делать chroot и работать в нем
как ты считаешь имеет смысл такая реализация
Утилиты в chroot соответственно не будут копироваться.
Begin forwarded message:
Date: Mon, 18 Feb 2002 13:50:21 -0800
From: "Kurt D. Zeilenga" <Kurt@OpenLDAP.org>
To: "Volkov Serge" <vserge@menatepspb.msk.ru>
Subject: Re: CHROOT with OpenLDAP
At 04:19 AM 2002-02-18, Volkov Serge wrote:
>I think we may add new option SLAPD_CHROOT_DEFAULT_CONFIG = /etc/openldap/slapd-chroot.conf with absalutpath to schemas and bases without option about ACl and TLS.
If anything, the tools could be modified to accept a
command line flag to chroot(3) after opening files
specified on the command line. Currently though, you
can just execute the tool using chroot(1) w/ appropriate
paths to files (as found in the new root).
Kurt
--
With best wishes, Volkov Serge
Network Administrator/Security Administrator
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [devel] Fw: Re: CHROOT with OpenLDAP
2002-02-19 6:47 [devel] Fw: Re: CHROOT with OpenLDAP Volkov Serge
@ 2002-02-19 7:46 ` Dmitry V. Levin
2002-02-19 8:31 ` Volkov Serge
0 siblings, 1 reply; 4+ messages in thread
From: Dmitry V. Levin @ 2002-02-19 7:46 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 1336 bytes --]
On Tue, Feb 19, 2002 at 09:47:57AM +0300, Volkov Serge wrote:
> Дима как ты смотришь на такую реализацию для работы утилит
>
> Ниже ответ Координатора проекта OpenLDAP.
>
> Я предложил использовать еще один файл, а курт предлагает внешним утилитам делать chroot и работать в нем
> как ты считаешь имеет смысл такая реализация
А всегда ли эти утилиты запускаются рутом?
Надо иметь в виду, что chroot(2) - это привилегированный вызов.
> At 04:19 AM 2002-02-18, Volkov Serge wrote:
> >I think we may add new option SLAPD_CHROOT_DEFAULT_CONFIG = /etc/openldap/slapd-chroot.conf with absalutpath to schemas and bases without option about ACl and TLS.
>
> If anything, the tools could be modified to accept a
> command line flag to chroot(3) after opening files
> specified on the command line. Currently though, you
Это разумно в любом случае.
> can just execute the tool using chroot(1) w/ appropriate
> paths to files (as found in the new root).
Regards,
Dmitry
+-------------------------------------------------------------------------+
Dmitry V. Levin mailto://ldv@alt-linux.org
ALT Linux Team http://www.altlinux.com/
Fandra Project http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [devel] Fw: Re: CHROOT with OpenLDAP
2002-02-19 7:46 ` Dmitry V. Levin
@ 2002-02-19 8:31 ` Volkov Serge
2002-02-19 9:02 ` Dmitry V. Levin
0 siblings, 1 reply; 4+ messages in thread
From: Volkov Serge @ 2002-02-19 8:31 UTC (permalink / raw)
To: devel
On Tue, 19 Feb 2002 10:46:17 +0300
"Dmitry V. Levin" <ldv@alt-linux.org> wrote:
> On Tue, Feb 19, 2002 at 09:47:57AM +0300, Volkov Serge wrote:
> > Дима как ты смотришь на такую реализацию для работы утилит
> >
> > Ниже ответ Координатора проекта OpenLDAP.
> >
> > Я предложил использовать еще один файл, а курт предлагает внешним утилитам делать chroot и работать в нем
> > как ты считаешь имеет смысл такая реализация
>
> А всегда ли эти утилиты запускаются рутом?
> Надо иметь в виду, что chroot(2) - это привилегированный вызов.
Вообщето да, но если предположить что есть администратор сервера LDAP, которому разрешено только работать только с файлами LDAP сервера тогда вызовы должны бать не от превелигированного пользователя в этом случае я не знаю как правильно выйти из положения посоветуй ???
>
> > At 04:19 AM 2002-02-18, Volkov Serge wrote:
> > >I think we may add new option SLAPD_CHROOT_DEFAULT_CONFIG = /etc/openldap/slapd-chroot.conf with absalutpath to schemas and bases without option about ACl and TLS.
> >
> > If anything, the tools could be modified to accept a
> > command line flag to chroot(3) after opening files
> > specified on the command line. Currently though, you
>
> Это разумно в любом случае.
>
> > can just execute the tool using chroot(1) w/ appropriate
> > paths to files (as found in the new root).
>
>
> Regards,
> Dmitry
>
> +-------------------------------------------------------------------------+
> Dmitry V. Levin mailto://ldv@alt-linux.org
> ALT Linux Team http://www.altlinux.com/
> Fandra Project http://www.fandra.org/
> +-------------------------------------------------------------------------+
> UNIX is user friendly. It's just very selective about who its friends are.
>
--
With best wishes, Volkov Serge
Network Administrator/Security Administrator
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [devel] Fw: Re: CHROOT with OpenLDAP
2002-02-19 8:31 ` Volkov Serge
@ 2002-02-19 9:02 ` Dmitry V. Levin
0 siblings, 0 replies; 4+ messages in thread
From: Dmitry V. Levin @ 2002-02-19 9:02 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 1446 bytes --]
On Tue, Feb 19, 2002 at 11:31:59AM +0300, Volkov Serge wrote:
> > > Дима как ты смотришь на такую реализацию для работы утилит
> > >
> > > Ниже ответ Координатора проекта OpenLDAP.
> > >
> > > Я предложил использовать еще один файл, а курт предлагает внешним утилитам делать chroot и работать в нем
> > > как ты считаешь имеет смысл такая реализация
> >
> > А всегда ли эти утилиты запускаются рутом?
> > Надо иметь в виду, что chroot(2) - это привилегированный вызов.
>
> Вообщето да, но если предположить что есть администратор сервера LDAP, которому разрешено только работать только с файлами LDAP сервера тогда вызовы должны бать не от превелигированного пользователя в этом случае я не знаю как правильно выйти из положения посоветуй ???
1. Не использовать chroot(2)
Это может потребовать усилий по переработке кода утилит.
2. Использовать специальный wrapper.
Этот wrapper должен быть доступен по запуску только администратор
сервера LDAP, и chroot'иться только в разрешенный каталог.
К сожалению, это увеличит кол-во suid-root программ.
Regards,
Dmitry
+-------------------------------------------------------------------------+
Dmitry V. Levin mailto://ldv@alt-linux.org
ALT Linux Team http://www.altlinux.com/
Fandra Project http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
^ permalink raw reply [flat|nested] 4+ messages in thread
end of thread, other threads:[~2002-02-19 9:02 UTC | newest]
Thread overview: 4+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2002-02-19 6:47 [devel] Fw: Re: CHROOT with OpenLDAP Volkov Serge
2002-02-19 7:46 ` Dmitry V. Levin
2002-02-19 8:31 ` Volkov Serge
2002-02-19 9:02 ` Dmitry V. Levin
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git