[devel] chrooted service

ALT Linux Team development discussions
 help / color / mirror / Atom feed

* [devel] chrooted service
@ 2002-02-22 19:53 Igor Homyakov
  2002-02-22 19:37 ` Dmitry V. Levin
  0 siblings, 1 reply; 3+ messages in thread
From: Igor Homyakov @ 2002-02-22 19:53 UTC (permalink / raw)
  To: devel

Привет !

2 Вопроса:

- если в дистрибутиве средства для зыпуска в chroot демонов, которые не
поддерживают такой возможности сами, другими словами есть ли стандарная 
"обёртки" для таких случаев или ее надо делать самому ?

- если демон использующий PAM для авторизации запущен chroot, придеться
копировать libpam и т.д в его / или есть другие способы ?

Успехов !
-- 
Igor Homyakov
<homyakov(at)altlinux.ru>



^ permalink raw reply	[flat|nested] 3+ messages in thread

* Re: [devel] chrooted service
  2002-02-22 19:53 [devel] chrooted service Igor Homyakov
@ 2002-02-22 19:37 ` Dmitry V. Levin
  2002-02-22 20:47   ` Igor Homyakov
  0 siblings, 1 reply; 3+ messages in thread
From: Dmitry V. Levin @ 2002-02-22 19:37 UTC (permalink / raw)
  To: devel

[-- Attachment #1: Type: text/plain, Size: 1170 bytes --]

On Fri, Feb 22, 2002 at 10:53:32PM +0300, Igor Homyakov wrote:
> 2 Вопроса:
> 
> - если в дистрибутиве средства для зыпуска в chroot демонов, которые не
> поддерживают такой возможности сами, другими словами есть ли стандарная 
> "обёртки" для таких случаев или ее надо делать самому ?

Эта задача, как правило:
+ простая (wrapper на один-два экрана);
+ специфичная (надо затачивать под каждый конкретный сервер);

Впрочем, если придумаете что-нибудь универсальное, будет интересно
обсудить.

> - если демон использующий PAM для авторизации запущен chroot, придеться
> копировать libpam и т.д в его / или есть другие способы ?

Копировать весь PAM в chroot - это неправильно.
Аутентификацией должна заниматься не-chroot'ованная часть сервера.

См. напр. /usr/share/doc/vsftpd-*/SECURITY/


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.com/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 3+ messages in thread

* Re: [devel] chrooted service
  2002-02-22 19:37 ` Dmitry V. Levin
@ 2002-02-22 20:47   ` Igor Homyakov
  0 siblings, 0 replies; 3+ messages in thread
From: Igor Homyakov @ 2002-02-22 20:47 UTC (permalink / raw)
  To: devel

On Fri, Feb 22, 2002 at 10:37:58PM +0300, Dmitry V. Levin wrote:
> On Fri, Feb 22, 2002 at 10:53:32PM +0300, Igor Homyakov wrote:
> > 2 Вопроса:
> > 
> > - если в дистрибутиве средства для зыпуска в chroot демонов, которые не
> > поддерживают такой возможности сами, другими словами есть ли стандарная 
> > "обёртки" для таких случаев или ее надо делать самому ?
> 
> Эта задача, как правило:
> + простая (wrapper на один-два экрана);
> + специфичная (надо затачивать под каждый конкретный сервер);
>
> Впрочем, если придумаете что-нибудь универсальное, будет интересно
> обсудить.
> 
> > - если демон использующий PAM для авторизации запущен chroot, придеться
> > копировать libpam и т.д в его / или есть другие способы ?
> 
> Копировать весь PAM в chroot - это неправильно.
> Аутентификацией должна заниматься не-chroot'ованная часть сервера.

Речь идет о dante последний релиз у меня крутиться уже достаточно давно,
на выходных залью с Сизиф. Он достаточно просто chroot-рутируеться, 
написан "правильно" и root-ом только открывает соединение, но дело в
том что chroot jail в коде не предусмотрен. Предполагаеться что это будет
делат внешний врапер, по этому говорить о не-chroot'рованной части не
приходиться. 

-- 
Igor Homyakov
<homyakov(at)ramax.spb.ru>



^ permalink raw reply	[flat|nested] 3+ messages in thread

end of thread, other threads:[~2002-02-22 20:47 UTC | newest]

Thread overview: 3+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2002-02-22 19:53 [devel] chrooted service Igor Homyakov
2002-02-22 19:37 ` Dmitry V. Levin
2002-02-22 20:47   ` Igor Homyakov

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git