Features/ChrootedServices: различия между версиями

Материал из ALT Linux Wiki
Нет описания правки
(надо писать по русски)
Строка 2: Строка 2:
== chroot ==
== chroot ==


В ALT Linux существенная часть сервисов помещена в chroot, зачастую с пониженными правами (поскольку root в chroot -- вовсе не гарантия, что он оттуда не выберется).  Даже libresolv выполняется в чруте.  Это может быть неудобным в том плане, что пути сдвигаются (например, my.cnf живёт в /var/lib/mysql, добавляется сложностей с подключением дополнительных подулей или библиотек в чруте -- как-то к перловых Postgres или авторизационных к Postfix)... но обратная сторона медали в том, что если один из таких сервисов окажется проломанным, то в распоряжении атакующего будет гораздо меньше средств и привилегий для захвата всей системы.
В ALT Linux существенная часть сервисов помещена в chroot, зачастую с пониженными правами (поскольку root в chroot -- вовсе не гарантия, что он оттуда не выберется).  Даже libresolv выполняется в чруте.  Это может быть неудобным в том плане, что пути сдвигаются (например, my.cnf живёт в /var/lib/mysql, добавляется сложностей с подключением дополнительных модулей или библиотек в "песочнице" -- как-то к перловых Postgres или авторизационных к Postfix)... но обратная сторона медали в том, что если один из таких сервисов окажется проломанным, то в распоряжении атакующего будет гораздо меньше средств и привилегий для захвата всей системы.


При этом пакет <tt>chrooted</tt> обеспечивает использование хардлинков в случае, когда оригинальные файлы (конфигурация, библиотеки, бинарники) и чрут находятся в пределах одной файловой системы; впрочем, хардлинки менее безопасны, чем физические копии.
При этом пакет <tt>chrooted</tt> обеспечивает использование жестких ссылкок в случае, когда оригинальные файлы (конфигурация, библиотеки, бинарники) и "песочница" находятся в пределах одной файловой системы; впрочем, жесткие ссылки менее безопасны, чем физические копии.


Следует отметить такие неочевидности:
Следует отметить такие неочевидности:


* после изменения <tt>/etc/resolv.conf</tt> или <tt>/etc/hosts</tt> необходимо выполнить команду <tt>update_chrooted conf</tt> (также отрабатывает при загрузке), чтобы обновить копии этих файлов в чрутах; без этого возможны проблемы вида "ping не работает"
* после изменения <tt>/etc/resolv.conf</tt> или <tt>/etc/hosts</tt> необходимо выполнить команду <tt>update_chrooted conf</tt> (также отрабатывает при загрузке), чтобы обновить копии этих файлов в "песочницах"; без этого возможны проблемы вида "ping не работает"
* монтирование /var с noexec также [http://lists.altlinux.org/pipermail/sisyphus/2006-August/085164.html может] привести к проблемам с работой зачрученых сервисов
* монтирование /var с noexec также [http://lists.altlinux.org/pipermail/sisyphus/2006-August/085164.html может] привести к проблемам с работой зачрученых сервисов




{{Category navigation|title=Features|category=Features|sortkey={{SUBPAGENAME}}}}
{{Category navigation|title=Features|category=Features|sortkey={{SUBPAGENAME}}}}

Версия от 11:20, 23 октября 2009

Freesource-logo.png Blue Glass Arrow.svg MediaWiki logo.png
Эта страница была перемещена с freesource.info.
Эта страница наверняка требует чистки и улучшения — смело правьте разметку и ссылки.
Просьба по окончанию убрать этот шаблон со страницы.

chroot

В ALT Linux существенная часть сервисов помещена в chroot, зачастую с пониженными правами (поскольку root в chroot -- вовсе не гарантия, что он оттуда не выберется). Даже libresolv выполняется в чруте. Это может быть неудобным в том плане, что пути сдвигаются (например, my.cnf живёт в /var/lib/mysql, добавляется сложностей с подключением дополнительных модулей или библиотек в "песочнице" -- как-то к перловых Postgres или авторизационных к Postfix)... но обратная сторона медали в том, что если один из таких сервисов окажется проломанным, то в распоряжении атакующего будет гораздо меньше средств и привилегий для захвата всей системы.

При этом пакет chrooted обеспечивает использование жестких ссылкок в случае, когда оригинальные файлы (конфигурация, библиотеки, бинарники) и "песочница" находятся в пределах одной файловой системы; впрочем, жесткие ссылки менее безопасны, чем физические копии.

Следует отметить такие неочевидности:

  • после изменения /etc/resolv.conf или /etc/hosts необходимо выполнить команду update_chrooted conf (также отрабатывает при загрузке), чтобы обновить копии этих файлов в "песочницах"; без этого возможны проблемы вида "ping не работает"
  • монтирование /var с noexec также может привести к проблемам с работой зачрученых сервисов