LINUX.ORG.RU
Ответ на: комментарий от x-term
Вот-вот, тогда польза от этого какая? К чему это я - просто сейчас подготавливаю один сервер и хочется спать спокойно. На самом сервере куча сервисов планируется, вот и думаю, стоит ли с чрутом мучаться или нет... :-/
palach
() автор топика
Ответ на: комментарий от palach
ну если в чруте вертятся проги не рутовские, то оооочень сложно. если от рута... то успокаивай себя тем, что монтирует не команда маунт, а соответсвующий вызов в конце концов - т.е. процесс монтирования не тривиален в чруте :)
Pi ★★★★★
()
Ответ на: комментарий от Pi
Так а как открывать порты ниже 1024? Как минимум главный процес под рутом... :( Или chrootuid если рутовые права не используются...
palach
() автор топика
Ответ на: комментарий от x-term
более затратно и менее выгодно в моем случае :(
palach
() автор топика
Ответ на: комментарий от Lumi
Вот grsec похоже, вещь... Только я что-то не понял из описания - есть какое-то противодействие переполнению буфера\стека (если стек вообще под линукс переполнить можно)?
palach
() автор топика
Ответ на: комментарий от palach
>Так а как открывать порты ниже 1024? Как минимум главный процес под рутом...

некоторые открывают и после сбрасывают привелегии... хотя pure-ftp утверждает, что этот метод чем-то плох...

Pi ★★★★★
()
Ответ на: комментарий от palach
Ниже 1024 - по принципу некоторых изначально chroot-програмЪ: с правами root делают вызов chroot в нужную папку (таким программам не нужно создавать особое окружение из библиотек) и делают setuid (сброс привилегий).
saper ★★★★★
()
Ответ на: комментарий от palach
Чего там затратного? Переключения между ними как между процессами - один хрен, а возможностей ограничить - много. Я надеюсь мы об одном разговариваем? Я про http://linux-vserver.org
x-term ★★
()
Ответ на: комментарий от palach
Стек переполнить везде можно, если ПО позволяет. Может посмотрите на такой проект нак hlfs? Хотя бы в теоретическом плане, чтобы быть в теме.

http://www.linuxfromscratch.org/hlfs/
http://www.linuxfromscratch.org/hlfs/downloads/unstable/

Там написано и про grsec и про spp.

Кстати если предпочитаете 2.4 ветку ядер, то owl -- http://www.openwall.com/ будет ещё привлекательнее.
Lumi ★★★★★
()
Ответ на: комментарий от x-term
Это пальба из пушки по воробьям ;( И мне не хочется разводить зоопарк ни с чрутом ни с виртуал-серверами.
palach
() автор топика
Ответ на: комментарий от palach
тем что был первым и изначально писался для 2.2.x / 2.4.x серии ядер.
mator ★★★★★
()
если у тех процессов отобрать CAP_ADMIN то даже под рутом они ничего примонтировать не смогут.
но для этого нужно поставить патч на ядро - grsecurity например. и кончно же настроить все это дело
Cosmicman ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.