Features/ChrootedServices: различия между версиями
м (+ссылка) |
Asy (обсуждение | вклад) (→chroot: несколько примеров вызова update_chrooted) |
||
| (не показана 1 промежуточная версия 1 участника) | |||
| Строка 4: | Строка 4: | ||
При этом пакет {{pkg|chrooted}} обеспечивает использование жёстких ссылок в случае, когда оригинальные файлы (конфигурация, библиотеки, бинарники) и «песочница» находятся в пределах одной файловой системы; впрочем, жёсткие ссылки менее безопасны, чем физические копии. | При этом пакет {{pkg|chrooted}} обеспечивает использование жёстких ссылок в случае, когда оригинальные файлы (конфигурация, библиотеки, бинарники) и «песочница» находятся в пределах одной файловой системы; впрочем, жёсткие ссылки менее безопасны, чем физические копии. | ||
Некоторые варианты использования update_chrooted: | |||
update_chrooted conf | |||
update_chrooted all | |||
Следует отметить такие неочевидности: | Следует отметить такие неочевидности: | ||
| Строка 12: | Строка 17: | ||
== Ссылки == | == Ссылки == | ||
* [http://docs.altlinux.org/archive/2.4/master/alt-docs-master/ch06s19.html Документация Master 2.4] | * [http://docs.altlinux.org/archive/2.4/master/alt-docs-master/ch06s19.html Документация Master 2.4] | ||
* [http://forum.altlinux.org/index.php?topic=10960.0 Обсуждение на форуме] | |||
* [http://packages.altlinux.org/ru/Sisyphus/srpms/chrooted-resolv Пакет chrooted-resolv] | |||
[[Категория:Features]] | [[Категория:Features]] | ||
[[Категория:Admin]] | [[Категория:Admin]] | ||
[[Категория:FAQ]] | [[Категория:FAQ]] | ||
Текущая версия от 12:13, 3 августа 2023
chroot
В ALT Linux существенная часть сервисов помещена в chroot, зачастую с пониженными правами, поскольку root в chroot — вовсе не гарантия, что он оттуда не выберется. Даже libresolv выполняется в chroot. Это может быть неудобным в том плане, что пути сдвигаются. Например, my.cnf живёт в /var/lib/mysql, добавляется сложностей с подключением дополнительных модулей или библиотек в «песочнице», как то перловых к Postgres или авторизационных к Postfix. Но обратная сторона медали в том, что если один из таких сервисов окажется взломанным, то в распоряжении атакующего будет гораздо меньше средств и привилегий для захвата всей системы.
При этом пакет chrooted обеспечивает использование жёстких ссылок в случае, когда оригинальные файлы (конфигурация, библиотеки, бинарники) и «песочница» находятся в пределах одной файловой системы; впрочем, жёсткие ссылки менее безопасны, чем физические копии.
Некоторые варианты использования update_chrooted:
update_chrooted conf
update_chrooted all
Следует отметить такие неочевидности:
- после изменения /etc/resolv.conf или /etc/hosts необходимо выполнить команду update_chrooted conf (также отрабатывается при загрузке), чтобы обновить копии этих файлов в «песочницах»; без этого возможны проблемы вида «ping не работает»
- монтирование /var с noexec также может привести к проблемам с работой chrooted-сервисов