Features/ChrootedServices
Материал из ALT Linux Wiki
(надо писать по русски) |
(→chroot) |
||
Строка 2: | Строка 2: | ||
== chroot == | == chroot == | ||
- | В ALT Linux существенная часть сервисов помещена в chroot, зачастую с пониженными правами | + | В ALT Linux существенная часть сервисов помещена в chroot, зачастую с пониженными правами, поскольку root в chroot — вовсе не гарантия, что он оттуда не выберется. Даже libresolv выполняется в chroot. Это может быть неудобным в том плане, что пути сдвигаются. Например, my.cnf живёт в /var/lib/mysql, добавляется сложностей с подключением дополнительных модулей или библиотек в "песочнице", как то перловых к Postgres или авторизационных к Postfix. Но обратная сторона медали в том, что если один из таких сервисов окажется взломанным, то в распоряжении атакующего будет гораздо меньше средств и привилегий для захвата всей системы. |
- | При этом пакет <tt>chrooted</tt> обеспечивает использование | + | При этом пакет <tt>chrooted</tt> обеспечивает использование жёстких ссылок в случае, когда оригинальные файлы (конфигурация, библиотеки, бинарники) и "песочница" находятся в пределах одной файловой системы; впрочем, жёсткие ссылки менее безопасны, чем физические копии. |
Следует отметить такие неочевидности: | Следует отметить такие неочевидности: | ||
- | * после изменения <tt>/etc/resolv.conf</tt> или <tt>/etc/hosts</tt> необходимо выполнить команду <tt>update_chrooted conf</tt> (также | + | * после изменения <tt>/etc/resolv.conf</tt> или <tt>/etc/hosts</tt> необходимо выполнить команду <tt>update_chrooted conf</tt> (также отрабатывается при загрузке), чтобы обновить копии этих файлов в "песочницах"; без этого возможны проблемы вида "ping не работает" |
- | * монтирование /var с noexec также [http://lists.altlinux.org/pipermail/sisyphus/2006-August/085164.html может] привести к проблемам с работой | + | * монтирование /var с noexec также [http://lists.altlinux.org/pipermail/sisyphus/2006-August/085164.html может] привести к проблемам с работой chrooted сервисов |
- | + | ||
- | + | ||
- | + |
Версия 23:25, 3 апреля 2011
chroot
В ALT Linux существенная часть сервисов помещена в chroot, зачастую с пониженными правами, поскольку root в chroot — вовсе не гарантия, что он оттуда не выберется. Даже libresolv выполняется в chroot. Это может быть неудобным в том плане, что пути сдвигаются. Например, my.cnf живёт в /var/lib/mysql, добавляется сложностей с подключением дополнительных модулей или библиотек в "песочнице", как то перловых к Postgres или авторизационных к Postfix. Но обратная сторона медали в том, что если один из таких сервисов окажется взломанным, то в распоряжении атакующего будет гораздо меньше средств и привилегий для захвата всей системы.
При этом пакет chrooted обеспечивает использование жёстких ссылок в случае, когда оригинальные файлы (конфигурация, библиотеки, бинарники) и "песочница" находятся в пределах одной файловой системы; впрочем, жёсткие ссылки менее безопасны, чем физические копии.
Следует отметить такие неочевидности:
- после изменения /etc/resolv.conf или /etc/hosts необходимо выполнить команду update_chrooted conf (также отрабатывается при загрузке), чтобы обновить копии этих файлов в "песочницах"; без этого возможны проблемы вида "ping не работает"
- монтирование /var с noexec также может привести к проблемам с работой chrooted сервисов