On Thursday 25 March 2004 16:10, Vasil Kolev wrote:
> На чт, 2004-03-25 в 15:41, George Danchev записа:
> > хахаха, въобще имаш ли идея за какво става въпрос тука ?
> > я пак:
> >
> > mod_vroot е модул за заключване на демона на ProFTPD, при което отпада
> > необходимостта от изпълнение на каквито и да са процеси от страна на
> > демона като потребител root. Това повишава изключително много сигурността
> > при работа с ProFTPD. Автор на mod_vroot е TJ Saunders, а добавеният към
> > модула пач, чрез който могат да се следват symlink извън chroot е дело на
> > Oskar Liljeblad. Възможността да се следва symlink извън chroot има за
> > цел да избегне монтирането на директории чрез "mount --bind"("mount_null"
> > при BSD), което е стандартен похват при изграждане на "прозорци" в
> > chroot.
>
> Блаааааааа.
>
> Бих предпочел няколко пъти mount --bind пред каквото и да било друго
> куцо решение, което важи само за ftp демона, и чиито код трябва да
> прегледам няколко пъти, преди да му вярвам. Определено на автора на
> patch-а трябва да се обясни, че това е гадна, безсмилена и опасна
> кръпка...1) човека каза, че не е разбрал за какво му е линка, след като там се посочват двете решения с mount и пача за proftpd. Сигурно има и още решения... 2) никъде не съм генерализирал, кое е по-доброто, щото визират различни приложения, от гледна точка на това кой може да излиза през "прозореца" и как. 3) в общия случай е ясно, че mount --bind е общоизвестен и общоизтестван и, че с пача се усложнява и демона и грижата за админа да го мисли как ще работи, но това е corner/нестандартен case и си заслужава да се помисли в кои случаи може да е по-удобен от mount --всички-рестриктивни-опции... и има ли такива случаи в които не може да се изимплементира единствено и само с mount. 4) Имаш сорса на модула с пача (не, че съм го гледал/разбрал де, ) и автора (интересно какво е мнението на Saunders по въпроса, освен на автора на пача.) - опровергай го и ще се радвам да обявиш публично ако намериш реална (а не потенциална) опасност - или ще оправят кода ако има какво да се оправя/подобрява или ще го изоставят като подход. -- pub 4096R/0E4BD0AB 2003-03-18 <keyserver.bu.edu ; pgp.mit.edu> fingerprint 1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB ============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
