К тому-же можно ioctl подлый сказать в устройство какое-нибудь. Сделать
device для hda и почитать/пописать. Подлянок достаточно.
Понятно. Тогда и chroot не спасет. Тем более не вижу смысла делать
эти навороты.
Виктор
On Fri, Jun 01, 2001 at 10:35:36AM +0500, Victor Vislobokov wrote:
К тому-же можно ioctl подлый сказать в устройство какое-нибудь. Сделать
device для hda и почитать/пописать. Подлянок достаточно.
Понятно. Тогда и chroot не спасет. Тем более не вижу смысла делать
эти навороты.
Смысл
Понятно. Тогда и chroot не спасет. Тем более не вижу смысла делать
эти навороты.
Смысл есть.
Это только рут может подгадить в chroot'е. Обычный узер не может. С другой
стороны у обычного узера гораздо больше шансов получить дополнительные
привилегии, если он находится вне довольно
On Fri, 1 Jun 2001, Victor Vislobokov wrote:
Поэтому chroot - несколько иной механизм защиты, чем
неисполняемый стек. Они друг друга не заменяют, а лишь дополняют.
К тому же есть смысл ставить bind не только в chroot, а и с -u nobody -g
nobody, ибо даже в chroot'е root может подгадить.
On Fri, 1 Jun 2001, Victor Vislobokov wrote:
Это только рут может подгадить в chroot'е. Обычный узер не может. С другой
стороны у обычного узера гораздо больше шансов получить дополнительные
привилегии, если он находится вне довольно бедного софтом chroot'а.
Естественно, chroot - не
Install LIDS ?
--- Victor Wagner [EMAIL PROTECTED] wrote:
äÁÖÅ ÅÓÌÉ ÎÁ ÆÁÊÌÁÈ ÓÔÏÉÔ ÁÔÒÉÂÕÔ i, Á ÕÔÉÌÉÔÙ ÄÌÑ ÅÇÏ
ÓÍÅÎÙ × chroot'Ï×ÏÍ ÏËÒÕÖÅÎÉÉ ÎÅÔ?
õÔÉÌÉÔÙ ÎÅÔÕ, Á ÓÉÓÔÅÍÎÙÊ ×ÙÚÏ× ÎÉËÕÄÁ ÎÅ ÄÅÌÓÑ.
=
Yours,
Pavel V. Epifanov.
---
On Fri, 1 Jun 2001, Pavel Epifanov wrote:
From: Pavel Epifanov [EMAIL PROTECTED]
Subject: Re: chroot, security, etc
Install LIDS ?
Тоже хорошая вещь.
Как альтернатива сhroot.
--- Victor Wagner [EMAIL PROTECTED] wrote:
Даже если на файлах стоит атрибут i, а утилиты для его
смены
On Fri, 1 Jun 2001 02:52:40 -0700 (PDT)
Pavel Epifanov [EMAIL PROTECTED] wrote:
Install LIDS ?
Install RSBAC ! :-)
Rgrds, AEN
--- Victor Wagner [EMAIL PROTECTED] wrote:
Даже если на файлах стоит атрибут i, а утилиты для
его
смены в chroot'овом окружении нет?
Утилиты нету,
tOn Fri, 1 Jun 2001, Aleksey Novodvorsky wrote:
Тоже хорошая вещь.
Как альтернатива сhroot.
LIDS -- альтернатива chroot???
Да. При наличии ограничений на объем труда, который можно вложить
в данную систему, различные меры по обеспечению безопасности можно
рассматривать как альтернативы.
On Fri, 1 Jun 2001 15:28:59 +0400 (MSD)
Victor Wagner [EMAIL PROTECTED] wrote:
tOn Fri, 1 Jun 2001, Aleksey Novodvorsky wrote:
Тоже хорошая вещь.
Как альтернатива сhroot.
LIDS -- альтернатива chroot???
Да. При наличии ограничений на объем труда, который можно
вложить
в данную
On Fri, Jun 01, 2001 at 10:57:16AM +0500, Victor Vislobokov wrote:
Понятно. Тогда и chroot не спасет. Тем более не вижу смысла делать
эти навороты.
Смысл есть.
Это только рут может подгадить в chroot'е. Обычный узер не может. С другой
стороны у обычного узера гораздо больше
Привет всем!
Чего-то я окончательно перестал что-либо понимать.
Вот, например, chroot'овые серверы, там bind, postgres и
т.д. Я правильно понимаю, что все это chroot'ство делается
только для того, чтобы если человек найдет дыру и сорвет
стек, получив таким образом root'овые права, все
On Fri, Jun 01, 2001 at 09:11:47AM +0500, Victor Vislobokov wrote:
Привет всем!
Чего-то я окончательно перестал что-либо понимать.
Вот, например, chroot'овые серверы, там bind, postgres и
т.д. Я правильно понимаю, что все это chroot'ство делается
только для того, чтобы если
Срыв стека - частный случай дыры. Исполнить свой код на машине можно и
другими способами.
Хотелось бы услышать какими.
Поэтому chroot - несколько иной механизм защиты, чем
неисполняемый стек. Они друг друга не заменяют, а лишь дополняют.
К тому же есть смысл ставить bind не только в
К тому же есть смысл ставить bind не только в chroot, а и с -u nobody -g
nobody, ибо даже в chroot'е root может подгадить.
s/-g nobody/-g nogroup/
Sorry, недостаток кофеина в организме сказывается.
--
dg
On Fri, Jun 01, 2001 at 09:46:24AM +0500, Victor Vislobokov wrote:
Срыв стека - частный случай дыры. Исполнить свой код на машине можно и
другими способами.
Хотелось бы услышать какими.
Например, переполняем статический буффер, за которым идет массив указателей
на функции...
16 matches
Mail list logo