#1
|
|||
|
|||
Re: межсистемные вызовы исполняемых файлов
Eugene Grosbein написал(а) к Alex Korchmar в Nov 15 20:23:58 по местному времени:
21 ноя 2015, суббота, в 21:11 NOVT, Alex Korchmar написал(а): EG>> Ничего подобного, никакой разницы между выполнением команды EG>> на удаленном сервере локальным процессом с привилегиями юзера www. AK> вот и нехрен a) выполнять на сервере что-то кроме вебсервера от имени AK> юзера www А это и есть веб-сервер, который соседнему серверу команду передаёт. AK> и b) выполнять еще где-то что-то от неведомого юзера по инициативе AK> этого самого юзера www, когда в голове только cgi и прочая разруха. В CGI нет ничего плохого, не всем нужен highload и не везде нужны супермасштабируемые решения. EG>> У меня в технологии такое есть, например, когда оператор через EG>> веб-интерфейс вносит изменения в конфигурацию почтового сервера, EG>> при этом веб и почтовик работают в соседних jail. ssh и command= EG>> для ключа решают. AK> угу, про порт-форвардинг опять забыл, да? В этом месте не забыл. AK> При этом работай оно в одной системе - ничего бы ровным счетом в худшую AK> сторону не изменилось (единственное что надо защищать на почтовом сервере AK> от вредных чужих ручек - это как раз его конфигурацию), У почтового сервера есть право рассылать почту и хранить почту и защищать кроме конфига нужно как собственно почтовое хранилище, так и контролируемость процесса отправки сетевого трафика в интернеты. Eugene -- Поэты - страшные люди. У них все святое. --- slrn/1.0.2 (FreeBSD) |
#2
|
|||
|
|||
Re: межсистемные вызовы исполняемых файлов
Alex Korchmar написал(а) к Eugene Grosbein в Nov 15 01:47:56 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote: AK>> вот и нехрен a) выполнять на сервере что-то кроме вебсервера от имени AK>> юзера www EG> А это и есть веб-сервер, который соседнему серверу команду передаёт. если у тебя это умеет вебсервер - добро пожаловать в интересную жизнь с tomcat, j2ee и прочими занимательными игрушками из взрослого секс-шопа. А если у тебя там как всегда... AK>> и b) выполнять еще где-то что-то от неведомого юзера по инициативе AK>> этого самого юзера www, когда в голове только cgi и прочая разруха. EG> В CGI нет ничего плохого, не всем нужен highload и не везде нужны EG> супермасштабируемые решения. в cgi нет ничего хорошего - оно устарело технологически и изначально не блистало. А highload тут как раз совершенно не причем, времена sun давно закатились, у современных систем форк бесплатный и память разделяемая. cgi сосет не из-за хайлоада, а из-за того что конструкция отвратительна и небезопасна сама по себе, так еще и единственная распространенная реализация принадлежит apache, откуда последний вмеяемый разработчик свалил еще в 2001-м году (он там и тогда был в меньшинстве, судя по танцам вокруг close() Ну, в общем, и правильно - остальные не жаждут своими руками портить свои проекты. AK>> сторону не изменилось (единственное что надо защищать на почтовом сервере AK>> от вредных чужих ручек - это как раз его конфигурацию), EG> У почтового сервера есть право рассылать почту и хранить почту EG> и защищать кроме конфига нужно как собственно почтовое хранилище, манипуляции с конфигом позволяют как превратить хренилище в полную мешанину, так и произвести неограниченное количество непредусмотренного сетевого траффика самого нежелательного для почтового сервера типа. Было б за что бороться, тьфуй. > Alex --- ifmail v.2.15dev5.4 |
#3
|
|||
|
|||
Re: межсистемные вызовы исполняемых файлов
Eugene Grosbein написал(а) к Alex Korchmar в Nov 15 17:27:04 по местному времени:
23 ноя 2015, понедельник, в 02:47 NOVT, Alex Korchmar написал(а): EG>> А это и есть веб-сервер, который соседнему серверу команду передаёт. AK> если у тебя это умеет вебсервер - добро пожаловать в интересную жизнь с AK> tomcat, j2ee и прочими занимательными игрушками из взрослого секс-шопа. Спасибо, у меня с апачем всё живет. AK>>> и b) выполнять еще где-то что-то от неведомого юзера по инициативе AK>>> этого самого юзера www, когда в голове только cgi и прочая разруха. EG>> В CGI нет ничего плохого, не всем нужен highload и не везде нужны EG>> супермасштабируемые решения. AK> в cgi нет ничего хорошего - оно устарело технологически "Устарело" не значит "не работает". AK>>> сторону не изменилось (единственное что надо защищать на почтовом сервере AK>>> от вредных чужих ручек - это как раз его конфигурацию), EG>> У почтового сервера есть право рассылать почту и хранить почту EG>> и защищать кроме конфига нужно как собственно почтовое хранилище, AK> манипуляции с конфигом позволяют как превратить хренилище в полную AK> мешанину, так и произвести неограниченное количество непредусмотренного AK> сетевого траффика самого нежелательного для почтового сервера типа. Это смотря какой конкретно конфиг и каким образом позволять трогать соседнему jail. Можно просто принимать команды с параметрами, проводить валидацию и создавать/удалять новые почтовые домены/алиасы/ящики. И всё будет хорошо. Eugene -- Прекрасны тонко отшлифованная драгоценность; победитель, раненный в бою; слон во время течки; река, высыхающая зимой; луна на исходе; юная женщина, изнуренная наслаждением, и даятель, отдавший все нищим. (Дхарма) --- slrn/1.0.2 (FreeBSD) |
#4
|
|||
|
|||
Re: межсистемные вызовы исполняемых файлов
Alex Korchmar написал(а) к Eugene Grosbein в Nov 15 15:01:42 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote: EG>>> А это и есть веб-сервер, который соседнему серверу команду передаёт. AK>> если у тебя это умеет вебсервер - добро пожаловать в интересную жизнь с AK>> tomcat, j2ee и прочими занимательными игрушками из взрослого секс-шопа. EG> Спасибо, у меня с апачем всё живет. апач не имеет встроенного функционала "передать команду соседнему серверу", так что, поздравляю вас, гражданин, соврамши. AK>> манипуляции с конфигом позволяют как превратить хренилище в полную AK>> мешанину, так и произвести неограниченное количество непредусмотренного AK>> сетевого траффика самого нежелательного для почтового сервера типа. EG> Это смотря какой конкретно конфиг и каким образом позволять трогать EG> соседнему jail. Можно просто принимать команды с параметрами, проводить а это вот все отлично реализуемо и в рамках одной системы, стандартным набором permissions/acl/setuid/ну хрен с ним, mac, если уж совсем ква. Причем, в виду отсутствия лишних прослоек и лишних ограничений видимости - можно сделать гораздо более надежно. То есть поломать могут только в случае твоей ошибки - а ее как раз в простой схеме гораздо проще не сделать или хотя бы вовремя заметить. > Alex --- ifmail v.2.15dev5.4 |
#5
|
|||
|
|||
Re: межсистемные вызовы исполняемых файлов
Eugene Grosbein написал(а) к Alex Korchmar в Nov 15 15:53:02 по местному времени:
23 ноя 2015, понедельник, в 16:01 NOVT, Alex Korchmar написал(а): EG>>>> А это и есть веб-сервер, который соседнему серверу команду передаёт. AK>>> если у тебя это умеет вебсервер - добро пожаловать в интересную жизнь с AK>>> tomcat, j2ee и прочими занимательными игрушками из взрослого секс-шопа. EG>> Спасибо, у меня с апачем всё живет. AK> апач не имеет встроенного функционала "передать команду соседнему серверу", AK> так что, поздравляю вас, гражданин, соврамши. А причем тут встроенность функционала? Апач по жизни был модульно-расширяемый, включая всякие modperl/modphp и CGI и нечего пенять ни на исполнение дополнительного кода в контексте процесса httpd, ни на исполнение дополнительно кода в другом процессе, но с теми же привилегиями. AK>>> манипуляции с конфигом позволяют как превратить хренилище в полную AK>>> мешанину, так и произвести неограниченное количество непредусмотренного AK>>> сетевого траффика самого нежелательного для почтового сервера типа. EG>> Это смотря какой конкретно конфиг и каким образом позволять трогать EG>> соседнему jail. Можно просто принимать команды с параметрами, проводить AK> а это вот все отлично реализуемо и в рамках одной системы, стандартным AK> набором permissions/acl/setuid/ну хрен с ним, mac, если уж совсем ква. AK> Причем, в виду отсутствия лишних прослоек и лишних ограничений видимости - AK> можно сделать гораздо более надежно. То есть поломать могут только в случае AK> твоей ошибки - а ее как раз в простой схеме гораздо проще не сделать или AK> хотя бы вовремя заметить. Проще или не проще - вопрос субъективный. Мне проще в jail отселить, чем выпиливать фигурно по MAC. Eugene --- slrn/1.0.2 (FreeBSD) |
#6
|
|||
|
|||
межсистемные вызовы исполняемых файлов
Victor Sudakov написал(а) к Alex Korchmar в Nov 15 17:05:58 по местному времени:
Dear Alex, 21 Nov 15 20:22, you wrote to me: VD>>> Так и никто не умеет. CGI без php/asp перестали попадаться в VD>>> сети уже лет 10 как. VS>> А вот прямо тут php или asp? VS>> https://bugs.freebsd.org/bugzilla/sh....cgi?id=204698 AK> а тут поделка каменного века, при том адски ублюдочная как с точки AK> зрения useability, так и с точки зрения нагрузки на сервер. Работает, AK> потому что неуловимого джо все давно уже позабыли. Моя реплика была ответом на "перестали попадаться" и не более того. Мне вот попадается. Victor Sudakov, VAS4-RIPE, VAS47-RIPN --- GoldED+/BSD 1.1.5-b20110223-b20110223 |
#7
|
|||
|
|||
isboot
Victor Sudakov написал(а) к Valentin Davydov в Nov 15 19:50:04 по местному времени:
Dear Valentin, 20 Nov 15 15:40, Alex Korchmar wrote to you: VD>> Есть какой-нибудь общий принцип работы с dhclientом, чтобы он, VD>> значит, не прерывал connectivity? AK> нету. Соответственно, правильный вариант - между загрузкой с AK> эмулируемого диска и реальной работой по iscsi - не полагаться на AK> сетевую связность. В линупсе это решается штатной технологией с initrd AK> и pivot_root, а тут, видимо, придется так и жить с мемдиском. В эхотаге делают или делали какой-то reroot, не знаю в каком состоянии это сейчас. Victor Sudakov, VAS4-RIPE, VAS47-RIPN --- GoldED+/BSD 1.1.5-b20110223-b20110223 |
#8
|
|||
|
|||
Re: межсистемные вызовы исполняемых файлов
Eugene Grosbein написал(а) к Vassily Kiryanov в Nov 15 23:14:50 по местному времени:
20 ноя 2015, пятница, в 09:44 NOVT, Vassily Kiryanov написал(а): VK> Вот хочу я из одного исполняемого файла (cgi-шника) запустить исполняемый файл VK> в другой системе (например, в соседнем jail) и его результаты (как минимум - VK> stdout перехваченый) как-то получить и обработать. Как такое сделать наименее VK> затратно можно, какие технологии посоветуете? Есть минимум два пути, я использую оба. Первый годится, когда нужно из хоста запустить что-то в jail. Если задача явно требует рута, то можно просто запускать команду через jexec по номеру jail (или ezjail-admin command по имени jail, если используется ezjail). Если запускать из-под непривилигированного пользователя или из другого jail, то это делается как и для просто двух разных хостов - через ssh с авторизацией по публичному ключу, которому разрешено выполнять только определенную команду. Ну, с хоста ещё можно через sudo jexec, но такой необходимости у меня не было пока. Eugene -- Поэты - страшные люди. У них все святое. --- slrn/1.0.2 (FreeBSD) |
#9
|
|||
|
|||
Re: межсистемные вызовы исполняемых файлов
Eugene Grosbein написал(а) к Alex Korchmar в Nov 15 23:16:56 по местному времени:
20 ноя 2015, пятница, в 10:45 NOVT, Alex Korchmar написал(а): VK>> Вот хочу я из одного исполняемого файла (cgi-шника) запустить VK>> исполняемый файл в другой системе (например, в соседнем jail) AK> обычно это означает дыру размером с паровоз. Ничего подобного, никакой разницы между выполнением команды на удаленном сервере локальным процессом с привилегиями юзера www. У меня в технологии такое есть, например, когда оператор через веб-интерфейс вносит изменения в конфигурацию почтового сервера, при этом веб и почтовик работают в соседних jail. ssh и command= для ключа решают. Eugene --- slrn/1.0.2 (FreeBSD) |
#10
|
|||
|
|||
Re: isboot
Eugene Grosbein написал(а) к Victor Sudakov в Nov 15 23:23:50 по местному времени:
20 ноя 2015, пятница, в 20:50 NOVT, Victor Sudakov написал(а): VD>>> Есть какой-нибудь общий принцип работы с dhclientом, чтобы он, VD>>> значит, не прерывал connectivity? AK>> нету. Соответственно, правильный вариант - между загрузкой с AK>> эмулируемого диска и реальной работой по iscsi - не полагаться на AK>> сетевую связность. В линупсе это решается штатной технологией с initrd AK>> и pivot_root, а тут, видимо, придется так и жить с мемдиском. VS> В эхотаге делают или делали какой-то reroot, не знаю в каком состоянии это VS> сейчас. re-root это перемонтирование рута, работает так: ядро убивает все процессы, перемонтирует рут и начинает загрузку по новой с запуска init с нового рута. Тот же ребут, только без смены ядра. Eugene --- slrn/1.0.2 (FreeBSD) |