LINUX.ORG.RU

Ответ на: комментарий от x-term

Вот-вот, тогда польза от этого какая? К чему это я - просто сейчас подготавливаю один сервер и хочется спать спокойно. На самом сервере куча сервисов планируется, вот и думаю, стоит ли с чрутом мучаться или нет... :-/

palach
() автор топика
Ответ на: комментарий от palach

ну если в чруте вертятся проги не рутовские, то оооочень сложно. если от рута... то успокаивай себя тем, что монтирует не команда маунт, а соответсвующий вызов в конце концов - т.е. процесс монтирования не тривиален в чруте :)

Pi ★★★★★
()
Ответ на: комментарий от Pi

Так а как открывать порты ниже 1024? Как минимум главный процес под рутом... :( Или chrootuid если рутовые права не используются...

palach
() автор топика
Ответ на: комментарий от x-term

более затратно и менее выгодно в моем случае :(

palach
() автор топика
Ответ на: комментарий от Lumi

Вот grsec похоже, вещь... Только я что-то не понял из описания - есть какое-то противодействие переполнению буфера\стека (если стек вообще под линукс переполнить можно)?

palach
() автор топика
Ответ на: комментарий от palach

>Так а как открывать порты ниже 1024? Как минимум главный процес под рутом...

некоторые открывают и после сбрасывают привелегии... хотя pure-ftp утверждает, что этот метод чем-то плох...

Pi ★★★★★
()
Ответ на: комментарий от palach

Ниже 1024 - по принципу некоторых изначально chroot-програмЪ: с правами root делают вызов chroot в нужную папку (таким программам не нужно создавать особое окружение из библиотек) и делают setuid (сброс привилегий).

saper ★★★★★
()
Ответ на: комментарий от palach

Чего там затратного? Переключения между ними как между процессами - один хрен, а возможностей ограничить - много. Я надеюсь мы об одном разговариваем? Я про http://linux-vserver.org

x-term ★★
()
Ответ на: комментарий от palach

Стек переполнить везде можно, если ПО позволяет. Может посмотрите на такой проект нак hlfs? Хотя бы в теоретическом плане, чтобы быть в теме.

http://www.linuxfromscratch.org/hlfs/
http://www.linuxfromscratch.org/hlfs/downloads/unstable/

Там написано и про grsec и про spp.

Кстати если предпочитаете 2.4 ветку ядер, то owl -- http://www.openwall.com/ будет ещё привлекательнее.

Lumi ★★★★★
()
Ответ на: комментарий от x-term

Это пальба из пушки по воробьям ;( И мне не хочется разводить зоопарк ни с чрутом ни с виртуал-серверами.

palach
() автор топика
Ответ на: комментарий от palach

тем что был первым и изначально писался для 2.2.x / 2.4.x серии ядер.

mator ★★★★★
()

если у тех процессов отобрать CAP_ADMIN то даже под рутом они ничего примонтировать не смогут.
но для этого нужно поставить патч на ядро - grsecurity например. и кончно же настроить все это дело

Cosmicman ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security