Vesselin Kolev wrote:
Можете да се сърдите, но Debian не предоставя възможностите нужни за
работа в chroot среда на демона named. Изобщо в тази дистрибуция
малко са скарани с темата "сигурност" (особено след като вчера след
apt-get install ntp-server разбрах, че ntpd се пуска с права на root
:), което ме разтрепера и накара да преправям init скрипта, защото в
този init скрипт нямаше дори предвидено четене на
/etc/defaults/ntp-server, от където евентуално да се зададе кой да е
собственик на процесите, за опционлано заключване изобщо не може и
да се говори).
Ще се разсърдя. Както се бях разсърдил навремето като говореше
глупости за
dnscache i tinydns, и беше превел дословно една статия за проблемите в
тези
програми. Звучеше толкова авторитетно, че почти убеди всички, че ти си го
измислил. Всички знаем, че обожаваш sendmail, bind9 и Fedorа.
Забележи, не
оспорвам професионализма ти, а твоя пресилен фанатизъм понякога.
Ще ти покажа конкретно за bind9 в debian, ти ако се интересуваш,
открии в коя
версия е:
Конкретно за bind:
1) в /etc/init.d/bind9 липсва каквато и да е мобилност и оперативност
за заключване на демона named
конкретно:
Грешно.
Нейде из /etc/init.d/bind9:
# for a chrooted server: "-u bind -t /var/lib/named"
# Don't modify this line, change or create /etc/default/bind9.
OPTIONS=""
test -f /etc/default/bind9 && . /etc/default/bind9
test -x /usr/sbin/rndc || exit 0
case "$1" in
start)
echo -n "Starting domain name service: named"
Прекрасно, но тук се обвързваш с pid файл, който не е в chroot, дори
в $OPTIONS да имаш указване за chroot директория с "-t".
Е и? Ще ти покажа по долу:
Отново това обвързване. Да не говорим, че ISC пишат в документацията
си, но кой да чете. Демонът named се спира с командата:
# rndc stop
Сигурно. Така го и спират в debian.
stop)
echo -n "Stopping domain name service: named"
if [ -x /sbin/resolvconf ]; then
/sbin/resolvconf -d lo
fi
/usr/sbin/rndc stop
echo "."
;;
reload)
/usr/sbin/rndc reload
;;
restart|force-reload)
$0 stop
sleep 2
$0 start
;;
Никакви обвързвания с pid и оттам никакви проблеми с chroot. Няма
проблеми със спирането. Може дори да не се използва pid файл.
Ти го каза ;-)
А да, и още нещо:
~# grep bind /etc/passwd
bind:x:104:107::/var/cache/bind:/bin/false
Не съм го слагал аз ;-) И знаеш ли защо? Защото не ползвам bind, нямам
си на идея как работи.
Ама нали все се дразниш на пичове, дето говорят наизуст, та и аз така.
И за да не кажеш. че тролвам, флеймвам и се заяждам:
~# ps aux | grep ntp
ntp 15788 0.0 0.6 3292 3292 ? SLs 14:30 0:00
/usr/sbin/ntpd -p /var/run/ntpd.pid -u 108:108
~# grep ntp /etc/passwd
ntp:x:108:108::/home/ntp:/bin/false
Не съм ги слагал аз ;-)
А това, че Fedora е първата дистрибуция, която имплементира SELinux за
своите потребители, може само да те кара
да бъдеш горд. Беше ми мъъничко смешно, като четях как същите тези
потребители, не успяват винаги да се
login-нат ;-).
Поздрави и уважения,
Димитър
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara
Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================