From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <ldv@alt-linux.org>
Date: Mon, 22 Apr 2002 17:45:31 +0400
From: "Dmitry V. Levin" <ldv@alt-linux.org>
To: ALT Linux Sisyphus mailing list <sisyphus@altlinux.ru>
Subject: Re: [sisyphus] chrooted ping, traceroute and resolveip
Message-ID: <20020422134531.GB6446@ldv.office.alt-linux.org>
Mail-Followup-To: ALT Linux Sisyphus mailing list <sisyphus@altlinux.ru>
References: <3CC17B88.5080605@stankin.ru> <20020420144359.14A6B227B4@VL3143.spb.edu> <1019379120.7691.9.camel@sig.novosoft.ru> <20020421103133.GC5296@lic145.kiev.ua> <20020422092305.GC18565@ldv.office.alt-linux.org> <1019468841.3376.9.camel@sig.novosoft.ru> <20020422100900.GA5719@ldv.office.alt-linux.org> <1019472482.5551.7.camel@sig.novosoft.ru> <20020422110659.GA5957@ldv.office.alt-linux.org> <1019481350.6631.3.camel@sig.novosoft.ru>
Mime-Version: 1.0
Content-Type: multipart/signed; micalg=pgp-sha1;
	protocol="application/pgp-signature"; boundary="NMuMz9nt05w80d4+"
Content-Disposition: inline
In-Reply-To: <1019481350.6631.3.camel@sig.novosoft.ru>
X-fingerprint: 9658 398D 181B 1200 8FC5  26B8 F6F8 846B C1E2 3429
Sender: sisyphus-admin@altlinux.ru
Errors-To: sisyphus-admin@altlinux.ru
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: sisyphus@altlinux.ru
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
List-Id: <sisyphus.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/sisyphus/>
Archived-At: <http://lore.altlinux.org/sisyphus/20020422134531.GB6446@ldv.office.alt-linux.org/>
List-Archive: <http://lore.altlinux.org/sisyphus/>

--NMuMz9nt05w80d4+
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

On Mon, Apr 22, 2002 at 08:15:50PM +0700, Alexey Morozov wrote:
> Но вот вопрос: а насколько засовывание ping & Co в чрут увеличивает
> защищенность системы - по-прежнему, для меня вопрос... Ладно, это так,

Примерно настолько, насколько увеличил бы защищенность системы отказ от
использования этих утилит. В случае взлома потенциальный злоумышленник
получает процесс с правами непривилегированного пользователя (за
исключением nmap и clockdif - у них остается cap_net_raw) в chroot'е,
доступном только для чтения.

> мысли вслух, с ним, как и с non-executable стеком если не легче, то, во
> всяком случае, спокойнее :-).

Да, но это иллюзорное спокойствие.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.com/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

--NMuMz9nt05w80d4+
Content-Type: application/pgp-signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE8xBP79viEa8HiNCkRAqd2AJ9swM0CN6vRkbMdTCQzus8rMhnGGACcDh5s
u9sq0XXvKDm8WtleDUYiimA=
=A+Rs
-----END PGP SIGNATURE-----

--NMuMz9nt05w80d4+--