|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Spartak Radchenko 2:5020/400 07 Oct 2003 20:23:06
To : "Il'ya Teterin"
Subject : Re: вопрос по взлому сервера
--------------------------------------------------------------------------------
Il'ya Teterin <hocker@cougars.com> wrote:
IyT>
BtH>>> У кого есть опыт установки apache + perl под chroot, поделитесь.
BtH>>> интуиция подсказывает, что эта связка за собой половину системы
BtH>>> утянет...
IyT>
SR>> Вот для этого и сгодится jail. У меня так www.aif.ru работает.
IyT>
IyT> И тебе не пришлось переносить все библиотеки перла, динамические библиотеки
IyT> и еще хрен знает что в новый корень?
Пришлось. Примерно таким скриптом:
cd /usr/src
mkdir -p $D
make world DESTDIR=$D
cd etc
make distribution DESTDIR=$D -DNO_MAKEDEV_RUN
cd $D/dev
sh MAKEDEV jail
cd $D
ln -sf dev/null kernel
Делов-то куча, скрипт запустить. Дальше можно руками лишнее почистить,
если не лень. Конечно, это для сложных случаев. С BIND гораздо проще.
IyT> А помнишь как Влад радовался, что злой хэкер не получил у него шелла только
IyT> из-за chroot'а? Я уж не стал тогда возражать, что отсутствие интерпретатора
IyT> команд, хоть и создает некоторые неудобства, однако, не является ужастной
IyT> неприятностью..
Hу, получит он там шелл. А толку-то? До паролей не доберётся, сильно
нагадить тоже не сможет. И руткит ставить некуда. Только этот сервис
из-за своей дырявости и пострадает. Что и произошло. Всё починить
можно не только без переустановки системы, но даже без перезагрузки.
IyT> Естественно, что нужно защищать не столько от возможности исполнить файлы,
IyT> сколько от возможности их читать/писать. То же, что и chroot, но более
IyT> гибкое. Можно, например, дать доступ на чтение к /etc/passwd, и не
IyT> возникает проблемы синхронизации списка пользователей, характерное для
IyT> chroot.
Обычно в chroot достаточно положить фейковый /etc/passwd. Если он вообще
там нужен.
IyT> Думаю, что неэффективно пытаться самостоятельно осознавать все, что делает
IyT> инсталлятор, достаточно просто доверия к разработчику.
Hет у меня к ним доверия. Вечно норовят какое-нибудь adware впарить
или встроенный web-сервер запустить. Hу а в System32 писануть - это
вообще святое дело. У тех, кто часто ставит/сносит программы винда
долго не живёт, не замечал такого? Довольно скоро приходится ставить
заново.
SR>> И вообще, Влад тебе уже объяснил, чем плох ACL. Hе вижу смысла его
SR>> дублировать.
IyT>
IyT> Мне показалось, то, что он говорил, было совсем не в пользу rwxrwxrwx
IyT> против ACL.
Упомянутый им недостаток к rwxrwxrwx не относится. Там, где этого
хватает, этим и надо пользоваться. Hавешивать хитрые ACL на системные
файлы - вредное занятие. Вот на файлопомойке - пожалуйста.
Мне rwxrwxrwx хватает всюду, кроме FTP сервера. Для юзеров с хитрыми
правами доступа просто организуется отдельная директория, куда через
mount_null/mount_union монтируются нужные директории. Можно в ro.
Дальше chroot в эту директорию и телемаркет. Получается гораздо
наглядней, чем с ACL. ls -l ~user - и всё видно, как на ладони.
--
Spartak Radchenko SVR1-RIPE
--- ifmail v.2.15dev5
* Origin: Arguments & Facts Weekly (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
