Date: Fri, 15 Oct 2004 13:35:17 +0200 From: Erik Norgaard <none@norgaard--locolomo.org.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: Jail med apache, ftp og ssh?
Christian Laursen wrote:
>>Kan man lave hard/soft links indtil jails? Ifald kunne det løse
>>problematikken. Hardlinks virker i hvertfald i et chroot'et miljø, så
>>hvis jail er placeret på samme partition som Perl, kunne det være en
>>mulighed.
>
> Man skal i saa fald nok huske at overveje, om det er en god ide, at
> root inde i jailet kan overskrive binaries, som bliver brugt udenfor.
Behøver man overhovedet at have en root i sit jail? Eller en root konto
med shell adgang?
Jail eller ej, så vil jeg stadig foretrække at lade brugeren køre sin
apache på en upriviligeret port så alt brugerens gams er uprivilegeret.
Ikke noget sudo eller suid. Det er den bedste måde at sikre sig mod
uforudset eskalering af privilegier.
Nu har jeg aldrig leget så meget med hardlinks - jeg mindes jeg læste
"lad være med mindre det er absolut nødvendigt" og så vidt jeg husker
ricikerer du problemer med at holde styr på dine hardlinks spec. ved
opgradering og installation af nye pakker.
Mvh Erik
-- Ph: +34.666334818 web: www.locolomo.org S/MIME Certificate: http://www.locolomo.org/crt/2004071206.crt Subject ID: A9:76:7A:ED:06:95:2B:8D:48:97:CE:F2:3F:42:C8:F2:22:DE:4C:B9 Fingerprint: 4A:E8:63:38:46:F6:9A:5D:B4:DC:29:41:3F:62:D3:0A:73:25:67:C2
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:44 CET