On Sat, Aug 29, 2009 at 03:58:00PM +0400, Alexey Pechnikov wrote: > Hello! > > On Saturday 29 August 2009 15:23:25 Stanislav Maslovski wrote: > > > Вам не интересно - так ведь никто не > > > заставляет. При отмонтированном /proc и у рута в чруте возможности сильно > > > ограничены. > > > > Что помешает руту подмонтировать /proc обратно? > > Пусть есть запущенный от рута процесс init.
Ты очень любишь менять коней на ходу. Изначально тебя интересовало несколько иное: а именно, отсылка сигнала процессу init (строго говоря, там не сигнал отсылается, а /dev/initctl используется, но это не суть важно) и как ее запретить. Т.е., предполагалось, что в системе есть некий untrusted процесс, который может этот сигнал послать. Он с необходимостью должен быть запущен от рута, иначе проблемы нет вообще. > Как от юзера www-data > подмонтировать /proc, воспользовавшись привелегиями процесса init? > Вы серьезно считаете, что системный init или runit такие дырявые? > Может, я чего-то не знаю, но мне это кажется очень маловероятным. А еще ты очень любишь додумывать за собеседника. > Если есть такая проблема, то придется selinux и проч. использовать, > как я уже упоминал в другом сообщении. Но я полагаю, что это не так. Selinux -- вообще отдельный (на мой взгляд, не очень удачный) механизм, к чруту прямого отношения не имеющий. Есть еще механизм capabilities (man capabilities), который позволяет распределить привилегии более тонко, но чтобы его использовать, потребуются некие усилия. -- Stanislav -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
