From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <homyakov@romashka.ramax.spb.ru>
Date: Fri, 22 Feb 2002 23:47:41 +0300
From: Igor Homyakov <homyakov@ramax.spb.ru>
To: devel@altlinux.ru
Subject: Re: [devel] chrooted service
Message-ID: <20020222204741.GA31693@ramax.spb.ru>
Mail-Followup-To: devel@altlinux.ru
References: <20020222195332.GA31104@ramax.spb.ru> <20020222193758.GA2860@ldv.office.alt-linux.org>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20020222193758.GA2860@ldv.office.alt-linux.org>
User-Agent: Mutt/1.3.23.2i
X-Operating-System: Linux romashka 2.2.18
Sender: devel-admin@altlinux.ru
Errors-To: devel-admin@altlinux.ru
X-BeenThere: devel@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: devel@altlinux.ru
List-Help: <mailto:devel-request@altlinux.ru?subject=help>
List-Post: <mailto:devel@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=subscribe>
List-Id: <devel.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/devel/>
Archived-At: <http://lore.altlinux.org/devel/20020222204741.GA31693@ramax.spb.ru/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On Fri, Feb 22, 2002 at 10:37:58PM +0300, Dmitry V. Levin wrote:
> On Fri, Feb 22, 2002 at 10:53:32PM +0300, Igor Homyakov wrote:
> > 2 Вопроса:
> > 
> > - если в дистрибутиве средства для зыпуска в chroot демонов, которые не
> > поддерживают такой возможности сами, другими словами есть ли стандарная 
> > "обёртки" для таких случаев или ее надо делать самому ?
> 
> Эта задача, как правило:
> + простая (wrapper на один-два экрана);
> + специфичная (надо затачивать под каждый конкретный сервер);
>
> Впрочем, если придумаете что-нибудь универсальное, будет интересно
> обсудить.
> 
> > - если демон использующий PAM для авторизации запущен chroot, придеться
> > копировать libpam и т.д в его / или есть другие способы ?
> 
> Копировать весь PAM в chroot - это неправильно.
> Аутентификацией должна заниматься не-chroot'ованная часть сервера.

Речь идет о dante последний релиз у меня крутиться уже достаточно давно,
на выходных залью с Сизиф. Он достаточно просто chroot-рутируеться, 
написан "правильно" и root-ом только открывает соединение, но дело в
том что chroot jail в коде не предусмотрен. Предполагаеться что это будет
делат внешний врапер, по этому говорить о не-chroot'рованной части не
приходиться. 

-- 
Igor Homyakov
<homyakov(at)ramax.spb.ru>