Re: Re[2]: lug-bg: proftpd limitirane na users
On Thursday 25 March 2004 16:10, Vasil Kolev wrote: > На чт, 2004-03-25 в 15:41, George Danchev записа: > > хахаха, въобще имаш ли идея за какво става въпрос тука ? > > я пак: > > > > mod_vroot е модул за заключване на демона на ProFTPD, при което отпада > > необходимостта от изпълнение на каквито и да са процеси от страна на > > демона като потребител root. Това повишава изключително много сигурността > > при работа с ProFTPD. Автор на mod_vroot е TJ Saunders, а добавеният към > > модула пач, чрез който могат да се следват symlink извън chroot е дело на > > Oskar Liljeblad. Възможността да се следва symlink извън chroot има за > > цел да избегне монтирането на директории чрез "mount --bind"("mount_null" > > при BSD), което е стандартен похват при изграждане на "прозорци" в > > chroot. > > Бл. > > Бих предпочел няколко пъти mount --bind пред каквото и да било друго > куцо решение, което важи само за ftp демона, и чиито код трябва да > прегледам няколко пъти, преди да му вярвам. Определено на автора на > patch-а трябва да се обясни, че това е гадна, безсмилена и опасна > кръпка... 1) човека каза, че не е разбрал за какво му е линка, след като там се посочват двете решения с mount и пача за proftpd. Сигурно има и още решения... 2) никъде не съм генерализирал, кое е по-доброто, щото визират различни приложения, от гледна точка на това кой може да излиза през "прозореца" и как. 3) в общия случай е ясно, че mount --bind е общоизвестен и общоизтестван и, че с пача се усложнява и демона и грижата за админа да го мисли как ще работи, но това е corner/нестандартен case и си заслужава да се помисли в кои случаи може да е по-удобен от mount --всички-рестриктивни-опции... и има ли такива случаи в които не може да се изимплементира единствено и само с mount. 4) Имаш сорса на модула с пача (не, че съм го гледал/разбрал де, ) и автора (интересно какво е мнението на Saunders по въпроса, освен на автора на пача.) - опровергай го и ще се радвам да обявиш публично ако намериш реална (а не потенциална) опасност - или ще оправят кода ако има какво да се оправя/подобрява или ще го изоставят като подход. -- pub 4096R/0E4BD0AB 2003-03-18 fingerprint 1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: Re[2]: lug-bg: proftpd limitirane na users
ÐÐ ÑÑ, 2004-03-25 Ð 15:41, George Danchev ÑÐ: > ÑÐÑÐÑÐ, ÐÑÐÐÑÐ ÐÐÐÑ ÐÐ ÐÐÐÑ ÐÐ Ð ÑÑÐÐÐ > ÐÑÐÑÐÑ ÑÑÐÐ ? > Ñ ÐÐÐ: > > mod_vroot Ð ÐÐÐÑÐ ÐÐ ÑÑ ÐÐ ÐÐ ÐÐ ProFTPD, > ÐÑÐ ÐÐÐÑÐ ÐÑ > ÑÐÑÑÑÐ ÐÑ ÐÐÐÑÐÐ ÐÐ ÐÑÐ Ð ÐÐ > ÑÐ ÐÑÐÑÐÑÐ ÐÑ ÑÑÑÐÐÐ ÐÐ ÐÐ > ÐÐÑÐ ÐÐÑÑÐÐÐÑÐÐ root. ÑÐÐÐ > ÑÑÐÑ Ð ÑÐÐÑÑÐÐÑÑÑÐ ÐÑÐ ÑÐÐÐÑÐ > Ñ ProFTPD. ÐÐÑÐÑ ÐÐ mod_vroot Ð TJ Saunders, Ð ÑÑ ÐÑÐ > ÐÐÐÑÐÐ ÐÐÑ, > ÑÑÐÐ ÐÐÐÑÐ Ñ ÐÐ ÑÐ ÑÐÑ symlink ÐÐÐÑÐ chroot Ð > ÐÐ Oskar > Liljeblad. ÐÑÐÐÑÑÑÐ ÐÐ ÑÐ ÑÐ symlink ÐÐÐÑÐ chroot > ÐÐÐ ÐÐ ÑÐÐ ÐÐ > ÐÐÐ ÐÐÐÑÐÑÐÐÐÑÐ ÐÐ ÐÐÑÐÐÑÐÑÐÐ ÑÑÐÐ "mount > --bind"("mount_null" ÐÑÐ BSD), > ÐÐÐÑÐ Ð ÑÑÑÑÐÐ ÐÐÑÐÐÑ ÐÑÐ ÐÐÐÑÐÐ ÐÐ > "ÐÑÐÐÐÑÑÐ" Ð chroot. ÐÐ. ÐÐÑ ÐÑÑÐÐ ÐÑÐ ÐÑÑÐ mount --bind ÐÑÐÐ ÐÑÐ Ð ÐÐ ÐÑÑÐÐ ÐÑÑÐ ÑÐÑ, ÐÐÐÑÐ ÑÐÐÐ ÐÐ ftp ÐÐ, Ð ÑÐÐÑÐ ÐÐÐ ÑÑÑÐÐÐ ÐÐ ÐÑÐÐÐ ÐÑÐ ÐÑÑÐ, ÐÑÐÐÐ ÐÐ ÐÑ ÐÑÑÐÐÐ. ÐÐÑÐÐÐ ÐÐ ÐÐÑÐÑÐ ÐÐ patch-Ð ÑÑÑÐÐÐ ÐÐ ÑÐ ÐÐÑÑÐÐ, ÑÐ ÑÐÐÐ Ð Ð, ÐÐÐÑÐÐ Ð ÐÐÐÑÐÐ ÐÑÑÐÐÐ... signature.asc Description: This is a digitally signed message part
Re: Re[2]: lug-bg: proftpd limitirane na users
On Thursday 25 March 2004 15:13, Tosho Yankov wrote: > Hello Vesselin, > > Thursday, March 25, 2004, 2:42:46 PM, you wrote: > > VK> Tosho Yankov wrote: > >> Zdravejte, sled kato se opitah nqkyde iz arhivite da otkriq otgvoroa > >> na moq vypros i ne go namerih reshih vse pak da pitam. > >> Kak da limitiram userite koito sa se lognali prez ProFTPD da mogat > >> da browsvat samo sobstvenite si direktorii. > >> Blagodarq predvaritelno. > > http://www.linux-bulgaria.org/cgi-bin/namazu.cgi?query=proftpd+limit&max=20 >&result=normal&sort=score tova ne mi dava mnogo otgovori koito da mi pomagat хахаха, въобще имаш ли идея за какво става въпрос тука ? я пак: mod_vroot е модул за заключване на демона на ProFTPD, при което отпада необходимостта от изпълнение на каквито и да са процеси от страна на демона като потребител root. Това повишава изключително много сигурността при работа с ProFTPD. Автор на mod_vroot е TJ Saunders, а добавеният към модула пач, чрез който могат да се следват symlink извън chroot е дело на Oskar Liljeblad. Възможността да се следва symlink извън chroot има за цел да избегне монтирането на директории чрез "mount --bind"("mount_null" при BSD), което е стандартен похват при изграждане на "прозорци" в chroot. > No az izbyrzah s pitaneto si v listata. Posle go namerih kak se pravi. > Posle daje pusnah edin mail pak v listata che sym se opravil i pitah > za symlink kym diroectorii koito sa izvun ~ , no pak sled kato pusnah > maila se seth kak da go napravq :) ми не бързай да правиш бози ;-) -- pub 4096R/0E4BD0AB 2003-03-18 fingerprint 1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html