Re: chroot, security, etc

2001-06-01 Пенетрантность Victor Vislobokov
К тому-же можно ioctl подлый сказать в устройство какое-нибудь. Сделать device для hda и почитать/пописать. Подлянок достаточно. Понятно. Тогда и chroot не спасет. Тем более не вижу смысла делать эти навороты. Виктор

Re: chroot, security, etc

2001-06-01 Пенетрантность Daniel Ginsburg
On Fri, Jun 01, 2001 at 10:35:36AM +0500, Victor Vislobokov wrote: К тому-же можно ioctl подлый сказать в устройство какое-нибудь. Сделать device для hda и почитать/пописать. Подлянок достаточно. Понятно. Тогда и chroot не спасет. Тем более не вижу смысла делать эти навороты. Смысл

Re: chroot, security, etc

2001-06-01 Пенетрантность Victor Vislobokov
Понятно. Тогда и chroot не спасет. Тем более не вижу смысла делать эти навороты. Смысл есть. Это только рут может подгадить в chroot'е. Обычный узер не может. С другой стороны у обычного узера гораздо больше шансов получить дополнительные привилегии, если он находится вне довольно

Re: chroot, security, etc

2001-06-01 Пенетрантность Victor Wagner
On Fri, 1 Jun 2001, Victor Vislobokov wrote: Поэтому chroot - несколько иной механизм защиты, чем неисполняемый стек. Они друг друга не заменяют, а лишь дополняют. К тому же есть смысл ставить bind не только в chroot, а и с -u nobody -g nobody, ибо даже в chroot'е root может подгадить.

Re: chroot, security, etc

2001-06-01 Пенетрантность Victor Wagner
On Fri, 1 Jun 2001, Victor Vislobokov wrote: Это только рут может подгадить в chroot'е. Обычный узер не может. С другой стороны у обычного узера гораздо больше шансов получить дополнительные привилегии, если он находится вне довольно бедного софтом chroot'а. Естественно, chroot - не

Re: chroot, security, etc

2001-06-01 Пенетрантность Pavel Epifanov
Install LIDS ? --- Victor Wagner [EMAIL PROTECTED] wrote: äÁÖÅ ÅÓÌÉ ÎÁ ÆÁÊÌÁÈ ÓÔÏÉÔ ÁÔÒÉÂÕÔ i, Á ÕÔÉÌÉÔÙ ÄÌÑ ÅÇÏ ÓÍÅÎÙ × chroot'Ï×ÏÍ ÏËÒÕÖÅÎÉÉ ÎÅÔ? õÔÉÌÉÔÙ ÎÅÔÕ, Á ÓÉÓÔÅÍÎÙÊ ×ÙÚÏ× ÎÉËÕÄÁ ÎÅ ÄÅÌÓÑ. = Yours, Pavel V. Epifanov. ---

Re: chroot, security, etc

2001-06-01 Пенетрантность Victor Wagner
On Fri, 1 Jun 2001, Pavel Epifanov wrote: From: Pavel Epifanov [EMAIL PROTECTED] Subject: Re: chroot, security, etc Install LIDS ? Тоже хорошая вещь. Как альтернатива сhroot. --- Victor Wagner [EMAIL PROTECTED] wrote: Даже если на файлах стоит атрибут i, а утилиты для его смены

Re: chroot, security, etc

2001-06-01 Пенетрантность Aleksey Novodvorsky
On Fri, 1 Jun 2001 02:52:40 -0700 (PDT) Pavel Epifanov [EMAIL PROTECTED] wrote: Install LIDS ? Install RSBAC ! :-) Rgrds, AEN --- Victor Wagner [EMAIL PROTECTED] wrote: Даже если на файлах стоит атрибут i, а утилиты для его смены в chroot'овом окружении нет? Утилиты нету,

Re: chroot, security, etc

2001-06-01 Пенетрантность Victor Wagner
tOn Fri, 1 Jun 2001, Aleksey Novodvorsky wrote: Тоже хорошая вещь. Как альтернатива сhroot. LIDS -- альтернатива chroot??? Да. При наличии ограничений на объем труда, который можно вложить в данную систему, различные меры по обеспечению безопасности можно рассматривать как альтернативы.

Re: chroot, security, etc

2001-06-01 Пенетрантность Aleksey Novodvorsky
On Fri, 1 Jun 2001 15:28:59 +0400 (MSD) Victor Wagner [EMAIL PROTECTED] wrote: tOn Fri, 1 Jun 2001, Aleksey Novodvorsky wrote: Тоже хорошая вещь. Как альтернатива сhroot. LIDS -- альтернатива chroot??? Да. При наличии ограничений на объем труда, который можно вложить в данную

Re: chroot, security, etc

2001-06-01 Пенетрантность Daniel Ginsburg
On Fri, Jun 01, 2001 at 10:57:16AM +0500, Victor Vislobokov wrote: Понятно. Тогда и chroot не спасет. Тем более не вижу смысла делать эти навороты. Смысл есть. Это только рут может подгадить в chroot'е. Обычный узер не может. С другой стороны у обычного узера гораздо больше

chroot, security, etc

2001-05-31 Пенетрантность Victor Vislobokov
Привет всем! Чего-то я окончательно перестал что-либо понимать. Вот, например, chroot'овые серверы, там bind, postgres и т.д. Я правильно понимаю, что все это chroot'ство делается только для того, чтобы если человек найдет дыру и сорвет стек, получив таким образом root'овые права, все

Re: chroot, security, etc

2001-05-31 Пенетрантность Daniel Ginsburg
On Fri, Jun 01, 2001 at 09:11:47AM +0500, Victor Vislobokov wrote: Привет всем! Чего-то я окончательно перестал что-либо понимать. Вот, например, chroot'овые серверы, там bind, postgres и т.д. Я правильно понимаю, что все это chroot'ство делается только для того, чтобы если

Re: chroot, security, etc

2001-05-31 Пенетрантность Victor Vislobokov
Срыв стека - частный случай дыры. Исполнить свой код на машине можно и другими способами. Хотелось бы услышать какими. Поэтому chroot - несколько иной механизм защиты, чем неисполняемый стек. Они друг друга не заменяют, а лишь дополняют. К тому же есть смысл ставить bind не только в

Re: chroot, security, etc

2001-05-31 Пенетрантность Daniel Ginsburg
К тому же есть смысл ставить bind не только в chroot, а и с -u nobody -g nobody, ибо даже в chroot'е root может подгадить. s/-g nobody/-g nogroup/ Sorry, недостаток кофеина в организме сказывается. -- dg

Re: chroot, security, etc

2001-05-31 Пенетрантность Daniel Ginsburg
On Fri, Jun 01, 2001 at 09:46:24AM +0500, Victor Vislobokov wrote: Срыв стека - частный случай дыры. Исполнить свой код на машине можно и другими способами. Хотелось бы услышать какими. Например, переполняем статический буффер, за которым идет массив указателей на функции...