Linux-Bulgaria.ORG
навигация

 

начало

пощенски списък

архив на групата

семинари ...

документи

как да ...

 

 

Предишно писмо Следващо писмо Предишно по тема Следващо по тема По Дата По тема (thread)

Re: Re[2]: lug-bg: proftpd limitirane na users


  • Subject: Re: Re[2]: lug-bg: proftpd limitirane na users
  • From: George Danchev <danchev@xxxxxxxxx>
  • Date: Fri, 26 Mar 2004 08:11:56 +0200

On Thursday 25 March 2004 16:10, Vasil Kolev wrote:
> На чт, 2004-03-25 в 15:41, George Danchev записа:
> > хахаха, въобще имаш ли идея за какво става въпрос тука ?
> > я пак:
> >
> > mod_vroot е модул за заключване на демона на ProFTPD, при което отпада
> > необходимостта от изпълнение на каквито и да са процеси от страна на
> > демона като потребител root. Това повишава изключително много сигурността
> > при работа с ProFTPD. Автор на mod_vroot е TJ Saunders, а добавеният към
> > модула пач, чрез който могат да се следват symlink извън chroot е дело на
> > Oskar Liljeblad. Възможността да се следва symlink извън chroot има за
> > цел да избегне монтирането на директории чрез "mount --bind"("mount_null"
> > при BSD), което е стандартен похват при изграждане на "прозорци" в
> > chroot.
>
> Блаааааааа.
>
> Бих предпочел няколко пъти mount --bind пред каквото и да било друго
> куцо решение, което важи само за ftp демона, и чиито код трябва да
> прегледам няколко пъти, преди да му вярвам. Определено на автора на
> patch-а трябва да се обясни, че това е гадна, безсмилена и опасна
> кръпка...

1) човека каза, че не е разбрал за какво му е линка, след като там се посочват 
двете решения с mount и пача за proftpd. Сигурно има и още решения...
2) никъде не съм генерализирал, кое е по-доброто, щото визират различни 
приложения, от гледна точка на това кой може да излиза през "прозореца" и 
как.
3) в общия случай е ясно, че mount --bind е общоизвестен и общоизтестван и, че 
с пача се усложнява и демона и грижата за админа да го мисли как ще работи, 
но това е corner/нестандартен case и си заслужава да се помисли в кои случаи 
може да е по-удобен от mount --всички-рестриктивни-опции... и има ли такива 
случаи в които не може да се изимплементира единствено и само с mount.
4) Имаш сорса на модула с пача (не, че съм го гледал/разбрал де, ) и автора 
(интересно какво е мнението на Saunders по въпроса, освен на автора на пача.) 
- опровергай го и ще се радвам да обявиш публично ако намериш реална (а не 
потенциална) опасност - или ще оправят кода ако има какво да се 
оправя/подобрява или ще го изоставят като подход. 

-- 
pub 4096R/0E4BD0AB  2003-03-18  <keyserver.bu.edu ; pgp.mit.edu>
fingerprint 1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB 

============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================



 

наши приятели

 

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

 

 

Linux-Bulgaria.ORG

Mailing list messages are © Copyright their authors.