On Fri, 1 Jun 2001 15:28:59 +0400 (MSD)
Victor Wagner <[EMAIL PROTECTED]> wrote:
> tOn Fri, 1 Jun 2001, Aleksey Novodvorsky wrote:
>
> > > Тоже хорошая вещь.
> > > Как альтернатива сhroot.
> >
> > LIDS -- альтернатива chroot???
>
> Да. При наличии ограничений на объем труда, который можно
> влож
tOn Fri, 1 Jun 2001, Aleksey Novodvorsky wrote:
> > Тоже хорошая вещь.
> > Как альтернатива сhroot.
>
> LIDS -- альтернатива chroot???
Да. При наличии ограничений на объем труда, который можно вложить
в данную систему, различные меры по обеспечению безопасности можно
рассматривать как альтернатив
On Fri, 1 Jun 2001 14:17:42 +0400 (MSD)
Victor Wagner <[EMAIL PROTECTED]> wrote:
> On Fri, 1 Jun 2001, Pavel Epifanov wrote:
>
> > From: Pavel Epifanov <[EMAIL PROTECTED]>
> > Subject: Re: chroot, security, etc
> >
> > Install LIDS ?
>
> Тож
On Fri, 1 Jun 2001 02:52:40 -0700 (PDT)
Pavel Epifanov <[EMAIL PROTECTED]> wrote:
> Install LIDS ?
Install RSBAC ! :-)
Rgrds, AEN
>
> --- Victor Wagner <[EMAIL PROTECTED]> wrote:
> > > Даже если на файлах стоит атрибут "i", а утилиты для
> его
> > > смены в chroot'овом окружении нет?
> >
On Fri, 1 Jun 2001, Pavel Epifanov wrote:
> From: Pavel Epifanov <[EMAIL PROTECTED]>
> Subject: Re: chroot, security, etc
>
> Install LIDS ?
Тоже хорошая вещь.
Как альтернатива сhroot.
> --- Victor Wagner <[EMAIL PROTECTED]> wrote:
> > > Даже если на
Install LIDS ?
--- Victor Wagner <[EMAIL PROTECTED]> wrote:
> > äÁÖÅ ÅÓÌÉ ÎÁ ÆÁÊÌÁÈ ÓÔÏÉÔ ÁÔÒÉÂÕÔ "i", Á ÕÔÉÌÉÔÙ ÄÌÑ ÅÇÏ
> > ÓÍÅÎÙ × chroot'Ï×ÏÍ ÏËÒÕÖÅÎÉÉ ÎÅÔ?
>
> õÔÉÌÉÔÙ ÎÅÔÕ, Á ÓÉÓÔÅÍÎÙÊ ×ÙÚÏ× ÎÉËÕÄÁ ÎÅ ÄÅÌÓÑ.
=
Yours,
Pavel V. Epifanov.
---
__
On Fri, 1 Jun 2001, Victor Vislobokov wrote:
> >
> > Это только рут может подгадить в chroot'е. Обычный узер не может. С другой
> > стороны у обычного узера гораздо больше шансов получить дополнительные
> > привилегии, если он находится вне довольно бедного софтом chroot'а.
> >
> > Естественно, ch
On Fri, 1 Jun 2001, Victor Vislobokov wrote:
>
> > Поэтому chroot - несколько иной механизм защиты, чем
> > неисполняемый стек. Они друг друга не заменяют, а лишь дополняют.
> >
> > К тому же есть смысл ставить bind не только в chroot, а и с -u nobody -g
> > nobody, ибо даже в chroot'е root может п
On Fri, Jun 01, 2001 at 10:57:16AM +0500, Victor Vislobokov wrote:
> > > Понятно. Тогда и chroot не спасет. Тем более не вижу смысла делать
> > > эти навороты.
> > >
> >
> > Смысл есть.
> >
> > Это только рут может подгадить в chroot'е. Обычный узер не может. С другой
> > стороны у обычного уз
> > Понятно. Тогда и chroot не спасет. Тем более не вижу смысла делать
> > эти навороты.
> >
>
> Смысл есть.
>
> Это только рут может подгадить в chroot'е. Обычный узер не может. С другой
> стороны у обычного узера гораздо больше шансов получить дополнительные
> привилегии, если он находится в
On Fri, Jun 01, 2001 at 10:35:36AM +0500, Victor Vislobokov wrote:
> > К тому-же можно ioctl подлый сказать в устройство какое-нибудь. Сделать
> > device для hda и почитать/пописать. Подлянок достаточно.
>
> Понятно. Тогда и chroot не спасет. Тем более не вижу смысла делать
> эти навороты.
>
> К тому-же можно ioctl подлый сказать в устройство какое-нибудь. Сделать
> device для hda и почитать/пописать. Подлянок достаточно.
Понятно. Тогда и chroot не спасет. Тем более не вижу смысла делать
эти навороты.
Виктор
On Fri, Jun 01, 2001 at 09:46:24AM +0500, Victor Vislobokov wrote:
> > Срыв стека - частный случай дыры. Исполнить свой код на машине можно и
> > другими способами.
>
> Хотелось бы услышать какими.
>
Например, переполняем статический буффер, за которым идет массив указателей
на функции...
> К тому же есть смысл ставить bind не только в chroot, а и с -u nobody -g
> nobody, ибо даже в chroot'е root может подгадить.
s/-g nobody/-g nogroup/
Sorry, недостаток кофеина в организме сказывается.
--
dg
> Срыв стека - частный случай дыры. Исполнить свой код на машине можно и
> другими способами.
Хотелось бы услышать какими.
> Поэтому chroot - несколько иной механизм защиты, чем
> неисполняемый стек. Они друг друга не заменяют, а лишь дополняют.
>
> К тому же есть смысл ставить bind не толь
On Fri, Jun 01, 2001 at 09:11:47AM +0500, Victor Vislobokov wrote:
> Привет всем!
>
> Чего-то я окончательно перестал что-либо понимать.
> Вот, например, chroot'овые серверы, там bind, postgres и
> т.д. Я правильно понимаю, что все это chroot'ство делается
> только для того, чтобы если ч
16 matches
Mail list logo
