Re: Re[2]: lug-bg: proftpd limitirane na users
- Subject: Re: Re[2]: lug-bg: proftpd limitirane na users
- From: George Danchev <danchev@xxxxxxxxx>
- Date: Fri, 26 Mar 2004 08:11:56 +0200
On Thursday 25 March 2004 16:10, Vasil Kolev wrote:
> На чт, 2004-03-25 в 15:41, George Danchev записа:
> > хахаха, въобще имаш ли идея за какво става въпрос тука ?
> > я пак:
> >
> > mod_vroot е модул за заключване на демона на ProFTPD, при което отпада
> > необходимостта от изпълнение на каквито и да са процеси от страна на
> > демона като потребител root. Това повишава изключително много сигурността
> > при работа с ProFTPD. Автор на mod_vroot е TJ Saunders, а добавеният към
> > модула пач, чрез който могат да се следват symlink извън chroot е дело на
> > Oskar Liljeblad. Възможността да се следва symlink извън chroot има за
> > цел да избегне монтирането на директории чрез "mount --bind"("mount_null"
> > при BSD), което е стандартен похват при изграждане на "прозорци" в
> > chroot.
>
> Блаааааааа.
>
> Бих предпочел няколко пъти mount --bind пред каквото и да било друго
> куцо решение, което важи само за ftp демона, и чиито код трябва да
> прегледам няколко пъти, преди да му вярвам. Определено на автора на
> patch-а трябва да се обясни, че това е гадна, безсмилена и опасна
> кръпка...
1) човека каза, че не е разбрал за какво му е линка, след като там се посочват
двете решения с mount и пача за proftpd. Сигурно има и още решения...
2) никъде не съм генерализирал, кое е по-доброто, щото визират различни
приложения, от гледна точка на това кой може да излиза през "прозореца" и
как.
3) в общия случай е ясно, че mount --bind е общоизвестен и общоизтестван и, че
с пача се усложнява и демона и грижата за админа да го мисли как ще работи,
но това е corner/нестандартен case и си заслужава да се помисли в кои случаи
може да е по-удобен от mount --всички-рестриктивни-опции... и има ли такива
случаи в които не може да се изимплементира единствено и само с mount.
4) Имаш сорса на модула с пача (не, че съм го гледал/разбрал де, ) и автора
(интересно какво е мнението на Saunders по въпроса, освен на автора на пача.)
- опровергай го и ще се радвам да обявиш публично ако намериш реална (а не
потенциална) опасност - или ще оправят кода ако има какво да се
оправя/подобрява или ще го изоставят като подход.
--
pub 4096R/0E4BD0AB 2003-03-18 <keyserver.bu.edu ; pgp.mit.edu>
fingerprint 1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|