Features/ChrootedServices: различия между версиями

Материал из ALT Linux Wiki
(надо писать по русски)
(→‎chroot: несколько примеров вызова update_chrooted)
 
(не показаны 3 промежуточные версии 2 участников)
Строка 1: Строка 1:
{{MovedFromFreesourceInfo|AltLinux/Features/ChrootedServices}}
== chroot ==
== chroot ==


В ALT Linux существенная часть сервисов помещена в chroot, зачастую с пониженными правами (поскольку root в chroot -- вовсе не гарантия, что он оттуда не выберется). Даже libresolv выполняется в чруте. Это может быть неудобным в том плане, что пути сдвигаются (например, my.cnf живёт в /var/lib/mysql, добавляется сложностей с подключением дополнительных модулей или библиотек в "песочнице" -- как-то к перловых Postgres или авторизационных к Postfix)... но обратная сторона медали в том, что если один из таких сервисов окажется проломанным, то в распоряжении атакующего будет гораздо меньше средств и привилегий для захвата всей системы.
В ALT Linux существенная часть сервисов помещена в chroot, зачастую с пониженными правами, поскольку root в chroot — вовсе не гарантия, что он оттуда не выберется. Даже libresolv выполняется в chroot. Это может быть неудобным в том плане, что пути сдвигаются. Например, {{path|my.cnf}} живёт в {{path|/var/lib/mysql}}, добавляется сложностей с подключением дополнительных модулей или библиотек в «песочнице», как то перловых к Postgres или авторизационных к Postfix. Но обратная сторона медали в том, что если один из таких сервисов окажется взломанным, то в распоряжении атакующего будет гораздо меньше средств и привилегий для захвата всей системы.


При этом пакет <tt>chrooted</tt> обеспечивает использование жестких ссылкок в случае, когда оригинальные файлы (конфигурация, библиотеки, бинарники) и "песочница" находятся в пределах одной файловой системы; впрочем, жесткие ссылки менее безопасны, чем физические копии.
При этом пакет {{pkg|chrooted}} обеспечивает использование жёстких ссылок в случае, когда оригинальные файлы (конфигурация, библиотеки, бинарники) и «песочница» находятся в пределах одной файловой системы; впрочем, жёсткие ссылки менее безопасны, чем физические копии.
 
Некоторые варианты использования update_chrooted:
update_chrooted conf
 
update_chrooted all


Следует отметить такие неочевидности:
Следует отметить такие неочевидности:


* после изменения <tt>/etc/resolv.conf</tt> или <tt>/etc/hosts</tt> необходимо выполнить команду <tt>update_chrooted conf</tt> (также отрабатывает при загрузке), чтобы обновить копии этих файлов в "песочницах"; без этого возможны проблемы вида "ping не работает"
* после изменения {{path|/etc/resolv.conf}} или {{path|/etc/hosts}} необходимо выполнить команду {{cmd|update_chrooted conf}} (также отрабатывается при загрузке), чтобы обновить копии этих файлов в «песочницах»; без этого возможны проблемы вида «ping не работает»
* монтирование /var с noexec также [http://lists.altlinux.org/pipermail/sisyphus/2006-August/085164.html может] привести к проблемам с работой зачрученых сервисов
* монтирование {{path|/var}} с <tt>noexec</tt> также [http://lists.altlinux.org/pipermail/sisyphus/2006-August/085164.html может] привести к проблемам с работой chrooted-сервисов


== Ссылки ==
* [http://docs.altlinux.org/archive/2.4/master/alt-docs-master/ch06s19.html Документация Master 2.4]
* [http://forum.altlinux.org/index.php?topic=10960.0 Обсуждение на форуме]
* [http://packages.altlinux.org/ru/Sisyphus/srpms/chrooted-resolv Пакет chrooted-resolv]


{{Category navigation|title=Features|category=Features|sortkey={{SUBPAGENAME}}}}
[[Категория:Features]]
[[Категория:Admin]]
[[Категория:FAQ]]

Текущая версия от 12:13, 3 августа 2023

chroot

В ALT Linux существенная часть сервисов помещена в chroot, зачастую с пониженными правами, поскольку root в chroot — вовсе не гарантия, что он оттуда не выберется. Даже libresolv выполняется в chroot. Это может быть неудобным в том плане, что пути сдвигаются. Например, my.cnf живёт в /var/lib/mysql, добавляется сложностей с подключением дополнительных модулей или библиотек в «песочнице», как то перловых к Postgres или авторизационных к Postfix. Но обратная сторона медали в том, что если один из таких сервисов окажется взломанным, то в распоряжении атакующего будет гораздо меньше средств и привилегий для захвата всей системы.

При этом пакет chrooted обеспечивает использование жёстких ссылок в случае, когда оригинальные файлы (конфигурация, библиотеки, бинарники) и «песочница» находятся в пределах одной файловой системы; впрочем, жёсткие ссылки менее безопасны, чем физические копии.

Некоторые варианты использования update_chrooted:

update_chrooted conf
update_chrooted all

Следует отметить такие неочевидности:

  • после изменения /etc/resolv.conf или /etc/hosts необходимо выполнить команду update_chrooted conf (также отрабатывается при загрузке), чтобы обновить копии этих файлов в «песочницах»; без этого возможны проблемы вида «ping не работает»
  • монтирование /var с noexec также может привести к проблемам с работой chrooted-сервисов

Ссылки