On Fri, Jun 01, 2001 at 09:11:47AM +0500, Victor Vislobokov wrote: > Привет всем! > > Чего-то я окончательно перестал что-либо понимать. > Вот, например, chroot'овые серверы, там bind, postgres и > т.д. Я правильно понимаю, что все это chroot'ство делается > только для того, чтобы если человек найдет дыру и сорвет > стек, получив таким образом root'овые права, все равно не > мог за какое-то ограниченное пространство вылезти? > Если да, то не проще ли просто поставить патч к ядру > от Solar Designer с тем чтобы исполняемого стека просто > не было? > Или я чего-то не понимаю принципиально? >
Не проще. Срыв стека - частный случай дыры. Исполнить свой код на машине можно и другими способами. Поэтому chroot - несколько иной механизм защиты, чем неисполняемый стек. Они друг друга не заменяют, а лишь дополняют. К тому же есть смысл ставить bind не только в chroot, а и с -u nobody -g nobody, ибо даже в chroot'е root может подгадить. -- dg
