URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1346
[ Назад ]

Исходное сообщение
"Возможно ли root-у запретить монтирование ?"
Отправлено Dragon_Stas , 12-Май-04 13:31

Кратко OC FreeBSD 5.2:
Есть сервис cvsd, который является обверткой для pserver (cvs), суть cvsd
запуск pserver в chroot jail.
Сервис cvsd запускается от пользователя root. Один Гуру по линукс мне сказал, что даже пользователь root не может выйти из chroot, но он может создать устройтво и замаунтить нужный диск и тем самым получить доступ к тому к чему ему доступ был запрещен.
Так вот возник вопрос как запретить пользователю root от которого запущен демон cvsd маунтить диски ?

Содержание

Возможно ли root-у запретить монтирование ?,Simps, 13:36 , 12-Май-04
- Возможно ли root-у запретить монтирование ?,Dragon_Stas, 14:15 , 12-Май-04
  - Возможно ли root-у запретить монтирование ?,qq, 20:03 , 12-Май-04
    - Возможно ли root-у запретить монтирование ?,Dragon_Stas, 22:53 , 12-Май-04
      - Возможно ли root-у запретить монтирование ?,qq, 01:19 , 13-Май-04

Сообщения в этом обсуждении

"Возможно ли root-у запретить монтирование ?"
Отправлено Simps , 12-Май-04 13:36

>Кратко OC FreeBSD 5.2:
>Есть сервис cvsd, который является обверткой для pserver (cvs), суть cvsd
>запуск pserver в chroot jail.
>Сервис cvsd запускается от пользователя root. Один Гуру по линукс мне сказал,
>что даже пользователь root не может выйти из chroot, но он
>может создать устройтво и замаунтить нужный диск и тем самым получить
>доступ к тому к чему ему доступ был запрещен.
>
>Так вот возник вопрос как запретить пользователю root от которого запущен демон
>cvsd маунтить диски ?
Так у Гуру и спроси =)

"Возможно ли root-у запретить монтирование ?"
Отправлено Dragon_Stas , 12-Май-04 14:15

Он гуру линукс, а не FreeBSD :)
под debian говорит возможно, а под FreeBSD незнает :(

"Возможно ли root-у запретить монтирование ?"
Отправлено qq , 12-Май-04 20:03

на freebsd - man jail

"Возможно ли root-у запретить монтирование ?"
Отправлено Dragon_Stas , 12-Май-04 22:53

>на freebsd - man jail
Один Гуру по линукс мне сказал, что даже пользователь root не может выйти из chroot jail, но он может создать устройтво и замаунтить нужный диск и тем самым получить доступ к тому к чему ему доступ был запрещен.
Так вот возник вопрос как запретить пользователю root от которого запущен демон cvsd маунтить диски ?

"Возможно ли root-у запретить монтирование ?"
Отправлено qq , 13-Май-04 01:19

>>на freebsd - man jail
>
>Один Гуру по линукс мне сказал, что даже пользователь root не может
>выйти из chroot jail, но он может создать устройтво и замаунтить
>нужный диск и тем самым получить доступ к тому к чему
>ему доступ был запрещен.
>Так вот возник вопрос как запретить пользователю root от которого запущен демон
>cvsd маунтить диски ?
а сделать man jail не пытался?
jail != chroot

(from man 2 jail: )
     Inside the prison, the concept of "superuser" is very diluted.  In gen-
     eral, it can be assumed that nothing can be mangled from inside a prison
     which does not exist entirely inside that prison.  For instance the
     directory tree below ``path'' can be manipulated all the ways a root can
     normally do it, including ``rm -rf /*'' but new device special nodes can-
     not be created because they reference shared resources (the device driv-
     ers in the kernel).