|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Valentin Davydov 2:5020/400 10 May 2002 20:47:53
To : Anton Panyushkin
Subject : Re: Раммкажите пpо chroot
--------------------------------------------------------------------------------
> From: Anton Panyushkin <Anton.Panyushkin@p15.f61.n5026.z2.fidonet.org>
> Date: Wed, 08 May 2002 16:48:48 +0400
>
> VD> Какое слово перевести?
>А зачем это нужно.
Чтобы программа не имела доступа к тем файлам, к которым не положено.
В нормальных системах это осуществляется системой прав доступа на файлы,
а в эхотагах (до совсем недавних времён) возможность работы по некоторым
TCP и UDP портам автоматически давала программе право доступа к любому
файлу. Таким образом, единственным барьером на пути между сетью и любым
файлом становится внутренняя логика работы программы. Поскольку большинство
программ написано на C малограмотными программистами, логика их работы
исследована плохо и никем не документирована, поэтому и было придумано
понятие sandbox (песочницы), в которую пускают программу в надежде, что
кроме самой себя она никому вреда не принесёт. Кроме chrootа в эхотаге
есть ещё одна реализация песочницы - jail. Также типичным инструментом
форсирования прав доступа у файловому дереву является mount, у которого
специально для этого сделаны опции readonly, noexec и т.п.
>Я слышал что для огpаничения пользователей,
Вот как раз с пользователями и обычная rwx ugo система неплохо справляется.
>Пpиведи конкpетные пpимеpы использования chroot, если не затpуднит.
Самый, пожалуй, яркий пример - берклеевский named (в просторечии bind)
в нынешней FreeBSD.
Вал. Дав.
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
