форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Оценка безопасности текущей реализации chroot в Li..."

Сообщение от opennews (??) on 28-Сен-07, 00:56

В списке рассылки разработчиков Linux ядра один из разработчиков представил патч устраняющий одну из проблем chroot() и поднял тему необходимости переработки реализации chroot в Linux. В настоящее время, если в изолированном окружении можно получить привилегии суперпользователя, то остается множество способов взаимодействия с внешним окружением  (например, если процесс не изменил текущую директорию, то после chroot, в нее можно вернуться, схема - "mkdir foo; chroot foo; cd .."). Другие разработчики пояснили: это стандартное поведение chroot(), которое никто не собирается исправлять. Chroot() не следует воспринимать как инструмент для обеспечения безопасности, он эффективен только в комплексных решениях, подобных BSD Jail или  Linux vserver. URL: http://kerneltrap.org/Linux/Abusing_chroot Новость: http://www.opennet.me/opennews/art.shtml?num=12225

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Оценка безопасности текущей реализации chroot в Linux"

Сообщение от pavlinux (??) on 28-Сен-07, 00:56

Ну что сказать, пущай юзает GRsecurity.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Оценка безопасности текущей реализации chroot в Linux"

Сообщение от ZANSWER (??) on 28-Сен-07, 07:21

Старый спор, по сути, правы, как первые так и вторые, но я склоняюсь всё же к вторым, что chroot нужно использовать только в комплексной защите, если нужна защита, а не делать на нём всё, делая из него то, для чего он не предназначен...:)))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Оценка безопасности текущей реализации chroot в Linux"

Сообщение от Аноним on 28-Сен-07, 13:29

ребята не делайте из мухи слона, chroot создавался не для обеспечения безопасности, хотите секьюрность используйте selinux

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Оценка безопасности текущей реализации chroot в Linux"

Сообщение от _Nick_ (??) on 29-Сен-07, 05:08

> например, если процесс не изменил текущую > директорию, то после chroot, в нее можно > вернуться, схема - "mkdir foo; chroot foo; cd .." схема, откровенно говоря, - гумно. Потому как бинарь chroot делает 3 вещи: chroot("somedir") chdir("/") execve("......") т.е. следующая команда выполняеться уже имея и корнем и текущей дирой эту "somedir". Некуда там возвращаться.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Оценка безопасности текущей реализации chroot в Linux"
	Сообщение от KdF (??) on 29-Сен-07, 17:34
	Бинарь-то тут причём? Речь ведь идёт о системном вызове, насколько я понял.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Оценка безопасности текущей реализации chroot в Linux"
	Сообщение от _Nick_ (??) on 29-Сен-07, 17:37
	>Бинарь-то тут причём? Речь ведь идёт о системном вызове, насколько я понял. суть - да. Что chroot не трогает текущую диру. Но вот это вот, то, что указано в новости, на системные вызовы не похоже в своем написании (если совсем придраться - то все равно сискола "cd" не существует): "mkdir foo; chroot foo; cd .."
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]