From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <3D971245.3020909@avanto.mpei.ac.ru> Date: Sun, 29 Sep 2002 18:46:29 +0400 From: "Dmitry E. Oboukhov" User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.0.1) Gecko/20020826 X-Accept-Language: ru, en-us, en MIME-Version: 1.0 To: sisyphus@altlinux.ru Subject: Re: [sisyphus] chroot References: <3D8ECC0B.2030200@avanto.mpei.ac.ru> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Sender: sisyphus-admin@altlinux.ru Errors-To: sisyphus-admin@altlinux.ru X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.0.13 Precedence: bulk Reply-To: sisyphus@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: коль пошла речь о безопасности, то продолжим немножко: сунулся я посмотреть на мастеровом сервере сколько и какие процессы у нас работают от рута: (маленький коментарий: сервер предназначен для хождения в инет где-то около 10-и пользователей, соответственно для этих пользователей на этом сервере организованы почтовые ящики, прозрачный прокси, стоит апач для нужд временно что-то в инет выложить, стоит самба для апача, дистрибутив - мастер2, apt настроен на фтп альтлинукса - i586 classic) ну собственно вот: [/home/dimka]$ ps axu|grep ^root root 1 0.0 0.1 1268 484 ? S Sep22 0:04 init [3] root 2 0.0 0.0 0 0 ? SW Sep22 0:00 [keventd] root 3 0.0 0.0 0 0 ? SWN Sep22 0:04 [ksoftirqd_CPU0] root 4 0.0 0.0 0 0 ? SW Sep22 0:05 [kswapd] root 5 0.0 0.0 0 0 ? SW Sep22 0:00 [bdflush] root 6 0.0 0.0 0 0 ? SW Sep22 0:01 [kupdated] root 7 0.0 0.0 0 0 ? SW< Sep22 0:00 [mdrecoveryd] root 152 0.0 0.0 0 0 ? SW Sep22 0:00 [kjournald] root 779 0.0 0.2 1572 708 ? S Sep22 0:59 /sbin/syslog-ng root 832 0.0 0.2 1480 644 ? S Sep22 0:00 crond root 849 0.0 0.3 2076 892 ? S Sep22 0:07 /usr/sbin/xinetd root 866 0.0 0.4 2504 1260 ? S Sep22 0:06 /usr/sbin/sshd root 1309 0.0 0.4 3328 1168 ? S Sep22 0:04 /usr/lib/postfix/ root 1346 0.0 0.4 3756 1108 ? S Sep22 0:00 squid -D root 1366 0.0 0.7 4640 1956 ? S Sep22 0:00 smbd -D root 1373 0.0 0.6 3592 1708 ? S Sep22 0:02 nmbd -D root 1393 0.0 0.1 1232 416 tty1 S Sep22 0:00 /sbin/mingetty tt root 1394 0.0 0.1 1232 416 tty2 S Sep22 0:00 /sbin/mingetty tt root 1395 0.0 0.1 1232 416 tty3 S Sep22 0:00 /sbin/mingetty tt root 1882 0.0 0.5 4212 1504 ? S Sep22 0:00 httpd -DHAVE_HTTP root 22847 0.0 1.0 5128 2672 ? S 15:18 0:00 smbd -D root 22865 0.0 0.9 5116 2416 ? S 15:22 0:00 smbd -D root 23631 0.0 0.6 5840 1776 ? S 18:07 0:00 /usr/sbin/sshd поехали: 1. первые семь пунктов - пропускаем - хез 2. 779 - логи - я не представляю как он работает, но может его можно было бы от какого юзера пускать ? - тоже пропускаем 3. 832 - планировщик, тут конечно в лоб - он должен от рута работать, хотя можно придумать безрутовую реализацию, ладно - тоже пропускаем 4. 849 - суперсервер 5. 1309 - мыло - тут непонятно - нафига ему рут ? и тем более чрут? 6. 1346 - прокся - вот уж кого не ожидал в этом списке увидеть! 7. 1366, 22847, 22865, 1373 - самба: тоже спрашивается нафига ей рут? - своя система авторизации (smbpasswd), может её от nobody пускать ? я не очень с ней разбирался но что-то мне подсказывает, что уж она-то должна иметь возможность от рута не работать.... 8. 1393 1394 1395 - совсем непонятно зачем им рут ? если все равно на входе авторизацию всегда проводит - ну ладно - тут пропускаем 9. 1882 - апач - опять? кто тут рассказывал про чрут ? идите сюда! 10. 23631 - ssh - тоже по здравому размышлению рут ему не нужен итак, самые "часто атакуемые сервера" - апач, постфикс, самба, ссш работают под рутом, таким образом вопрос "а нафига им чрут?" очень актуален, и еще более актуален вопрос вывода этих сервисов из под рута. ладно - сквид - пускается из под рута, потом форки его уже от имени пользователя squid работают, а почему его нельзя от этого пользователя и пускать ? самба.... а постфикс сидит под чрутом ? зачем ?