Dimitar G. Katerinski wrote:
Vesselin Kolev wrote:
Можете да се сърдите, но Debian не предоставя възможностите нужни за работа в chroot среда на демона named. Изобщо в тази дистрибуция малко са скарани с темата "сигурност" (особено след като вчера след apt-get install ntp-server разбрах, че ntpd се пуска с права на root :), което ме разтрепера и накара да преправям init скрипта, защото в този init скрипт нямаше дори предвидено четене на /etc/defaults/ntp-server, от където евентуално да се зададе кой да е собственик на процесите, за опционлано заключване изобщо не може и да се говори).
Ще се разсърдя. Както се бях разсърдил навремето като говореше глупости за
dnscache i tinydns, и беше превел дословно една статия за проблемите в тези
програми. Звучеше толкова авторитетно, че почти убеди всички, че ти си го
измислил. Всички знаем, че обожаваш sendmail, bind9 и Fedorа. Забележи, не
оспорвам професионализма ти, а твоя пресилен фанатизъм понякога.
Ще ти покажа конкретно за bind9 в debian, ти ако се интересуваш, открии в коя
версия е:
Конкретно за bind:
1) в /etc/init.d/bind9 липсва каквато и да е мобилност и оперативност за заключване на демона named
конкретно:
Грешно.
Нейде из /etc/init.d/bind9: # for a chrooted server: "-u bind -t /var/lib/named" # Don't modify this line, change or create /etc/default/bind9. OPTIONS=""
test -f /etc/default/bind9 && . /etc/default/bind9
test -x /usr/sbin/rndc || exit 0
case "$1" in start) echo -n "Starting domain name service: named"
Прекрасно, но тук се обвързваш с pid файл, който не е в chroot, дори в $OPTIONS да имаш указване за chroot директория с "-t".
Е и? Ще ти покажа по долу:
Отново това обвързване. Да не говорим, че ISC пишат в документацията си, но кой да чете. Демонът named се спира с командата:
# rndc stop
Сигурно. Така го и спират в debian. stop) echo -n "Stopping domain name service: named" if [ -x /sbin/resolvconf ]; then /sbin/resolvconf -d lo fi /usr/sbin/rndc stop echo "." ;;
reload) /usr/sbin/rndc reload ;;
restart|force-reload) $0 stop sleep 2 $0 start ;;
Никакви обвързвания с pid и оттам никакви проблеми с chroot. Няма проблеми със спирането. Може дори да не се използва pid файл.
Ти го каза ;-)
А да, и още нещо: ~# grep bind /etc/passwd bind:x:104:107::/var/cache/bind:/bin/false
Не съм го слагал аз ;-) И знаеш ли защо? Защото не ползвам bind, нямам си на идея как работи.
Ама нали все се дразниш на пичове, дето говорят наизуст, та и аз така.
И за да не кажеш. че тролвам, флеймвам и се заяждам:
~# ps aux | grep ntp
ntp 15788 0.0 0.6 3292 3292 ? SLs 14:30 0:00 /usr/sbin/ntpd -p /var/run/ntpd.pid -u 108:108
~# grep ntp /etc/passwd ntp:x:108:108::/home/ntp:/bin/false
Не съм ги слагал аз ;-)
А това, че Fedora е първата дистрибуция, която имплементира SELinux за своите потребители, може само да те кара
да бъдеш горд. Беше ми мъъничко смешно, като четях как същите тези потребители, не успяват винаги да се
login-нат ;-).
Поздрави и уважения,
Димитър
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
*THUBS UP* :)
-- perl -e 'print 7.66.82.44.10.68.97.110. 97.105.108.32.80.101.116.114.111.118.10'
============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
