LINUX.ORG.RU
ФорумAdmin

так кто должен был владельцем dns и squid процессов?


0

0

Вот читаю факи и везде говорится, что запускать dns сервер, или squid, надо НЕ от имени рута, а скажем от имени какого-нибудь
обычного юзера, во имя security purposes. А каким образом запуск от имени рута влияет на security? Насколько я понял всЁ это обычным
юзером просто не запустится. То есть надо запустить от имени рута, а потом отдать permissions юзеру??? Это так? Если да, то как это сделать, в частности для dns и squid-а. Это надо и права на все каталоги с конфигами менять? Или я что-то не понимаю...
Спасибо.

anonymous

ох про DNS читай в разделе security тама как chrrot-нуть bind
там все написанно так же делаеш и со squid-дом
а пермишины надо поставить чтоб статические файлы(конфиги и.т.д.)
были под правами root тоды dns или squid их изменить не сможет :-)
ну а pid файлы кэш у сквида должен принадлежать соответственно
группе и пользователю squid(dns)
Да по поводу запуска
запускается реально от root но потом процесс рождает ребенка с правами
которые ты в конфигах пропишеш

Aleks_IZA
()

Глупости в вашем faq. DNS надо запускать от root для listen 53 порта. squid можно запускать от кого угодно, но лучше всего от отдельного пользователя. Кстати, до появления glibc и squid-2 была проблема для Linux по смене реального идентификатора (устранена заглушкой в glibc и патчем squid), так я ставил setid и setgid на nobody.nogroup. Так до сих пор и ставлю по привычке.

vodz ★★★★★
()
13 июля 2000 г.
Ответ на: комментарий от vodz

Странно, а если запустить от nobody и сквид и бинд как меня могут взломать?

lamerr
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.