межсистемные вызовы исполняемых файлов

Eugene Grosbein написал(а) к Alex Korchmar в Nov 15 20:23:58 по местному времени:

21 ноя 2015, суббота, в 21:11 NOVT, Alex Korchmar написал(а):

EG>> Ничего подобного, никакой разницы между выполнением команды
EG>> на удаленном сервере локальным процессом с привилегиями юзера www.
AK> вот и нехрен a) выполнять на сервере что-то кроме вебсервера от имени
AK> юзера www

А это и есть веб-сервер, который соседнему серверу команду передаёт.

AK> и b) выполнять еще где-то что-то от неведомого юзера по инициативе
AK> этого самого юзера www, когда в голове только cgi и прочая разруха.

В CGI нет ничего плохого, не всем нужен highload и не везде нужны
супермасштабируемые решения.

EG>> У меня в технологии такое есть, например, когда оператор через
EG>> веб-интерфейс вносит изменения в конфигурацию почтового сервера,
EG>> при этом веб и почтовик работают в соседних jail. ssh и command=
EG>> для ключа решают.
AK> угу, про порт-форвардинг опять забыл, да?

В этом месте не забыл.

AK> При этом работай оно в одной системе - ничего бы ровным счетом в худшую
AK> сторону не изменилось (единственное что надо защищать на почтовом сервере
AK> от вредных чужих ручек - это как раз его конфигурацию),

У почтового сервера есть право рассылать почту и хранить почту
и защищать кроме конфига нужно как собственно почтовое хранилище,
так и контролируемость процесса отправки сетевого трафика в интернеты.

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.2 (FreeBSD)

Alex Korchmar написал(а) к Eugene Grosbein в Nov 15 01:47:56 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

AK>> вот и нехрен a) выполнять на сервере что-то кроме вебсервера от имени
AK>> юзера www
EG> А это и есть веб-сервер, который соседнему серверу команду передаёт.
если у тебя это умеет вебсервер - добро пожаловать в интересную жизнь с
tomcat, j2ee и прочими занимательными игрушками из взрослого секс-шопа.
А если у тебя там как всегда...

AK>> и b) выполнять еще где-то что-то от неведомого юзера по инициативе
AK>> этого самого юзера www, когда в голове только cgi и прочая разруха.
EG> В CGI нет ничего плохого, не всем нужен highload и не везде нужны
EG> супермасштабируемые решения.
в cgi нет ничего хорошего - оно устарело технологически и изначально не
блистало. А highload тут как раз совершенно не причем, времена sun давно
закатились, у современных систем форк бесплатный и память разделяемая.
cgi сосет не из-за хайлоада, а из-за того что конструкция отвратительна
и небезопасна сама по себе, так еще и единственная распространенная реализация
принадлежит apache, откуда последний вмеяемый разработчик свалил еще в
2001-м году (он там и тогда был в меньшинстве, судя по танцам вокруг close()
Ну, в общем, и правильно - остальные не жаждут своими руками портить свои
проекты.

AK>> сторону не изменилось (единственное что надо защищать на почтовом сервере
AK>> от вредных чужих ручек - это как раз его конфигурацию),
EG> У почтового сервера есть право рассылать почту и хранить почту
EG> и защищать кроме конфига нужно как собственно почтовое хранилище,
манипуляции с конфигом позволяют как превратить хренилище в полную
мешанину, так и произвести неограниченное количество непредусмотренного
сетевого траффика самого нежелательного для почтового сервера типа.
Было б за что бороться, тьфуй.

> Alex

--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Alex Korchmar в Nov 15 17:27:04 по местному времени:

23 ноя 2015, понедельник, в 02:47 NOVT, Alex Korchmar написал(а):

EG>> А это и есть веб-сервер, который соседнему серверу команду передаёт.
AK> если у тебя это умеет вебсервер - добро пожаловать в интересную жизнь с
AK> tomcat, j2ee и прочими занимательными игрушками из взрослого секс-шопа.

Спасибо, у меня с апачем всё живет.

AK>>> и b) выполнять еще где-то что-то от неведомого юзера по инициативе
AK>>> этого самого юзера www, когда в голове только cgi и прочая разруха.
EG>> В CGI нет ничего плохого, не всем нужен highload и не везде нужны
EG>> супермасштабируемые решения.
AK> в cgi нет ничего хорошего - оно устарело технологически

"Устарело" не значит "не работает".

AK>>> сторону не изменилось (единственное что надо защищать на почтовом сервере
AK>>> от вредных чужих ручек - это как раз его конфигурацию),
EG>> У почтового сервера есть право рассылать почту и хранить почту
EG>> и защищать кроме конфига нужно как собственно почтовое хранилище,
AK> манипуляции с конфигом позволяют как превратить хренилище в полную
AK> мешанину, так и произвести неограниченное количество непредусмотренного
AK> сетевого траффика самого нежелательного для почтового сервера типа.

Это смотря какой конкретно конфиг и каким образом позволять трогать
соседнему jail. Можно просто принимать команды с параметрами, проводить
валидацию и создавать/удалять новые почтовые домены/алиасы/ящики. И всё будет хорошо.

Eugene
--
Прекрасны тонко отшлифованная драгоценность; победитель, раненный в бою;
слон во время течки; река, высыхающая зимой; луна на исходе; юная женщина,
изнуренная наслаждением, и даятель, отдавший все нищим. (Дхарма)
--- slrn/1.0.2 (FreeBSD)

Alex Korchmar написал(а) к Eugene Grosbein в Nov 15 15:01:42 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

EG>>> А это и есть веб-сервер, который соседнему серверу команду передаёт.
AK>> если у тебя это умеет вебсервер - добро пожаловать в интересную жизнь с
AK>> tomcat, j2ee и прочими занимательными игрушками из взрослого секс-шопа.
EG> Спасибо, у меня с апачем всё живет.
апач не имеет встроенного функционала "передать команду соседнему серверу",
так что, поздравляю вас, гражданин, соврамши.

AK>> манипуляции с конфигом позволяют как превратить хренилище в полную
AK>> мешанину, так и произвести неограниченное количество непредусмотренного
AK>> сетевого траффика самого нежелательного для почтового сервера типа.
EG> Это смотря какой конкретно конфиг и каким образом позволять трогать
EG> соседнему jail. Можно просто принимать команды с параметрами, проводить
а это вот все отлично реализуемо и в рамках одной системы, стандартным
набором permissions/acl/setuid/ну хрен с ним, mac, если уж совсем ква.
Причем, в виду отсутствия лишних прослоек и лишних ограничений видимости -
можно сделать гораздо более надежно. То есть поломать могут только в случае
твоей ошибки - а ее как раз в простой схеме гораздо проще не сделать или
хотя бы вовремя заметить.

> Alex

--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Alex Korchmar в Nov 15 15:53:02 по местному времени:

23 ноя 2015, понедельник, в 16:01 NOVT, Alex Korchmar написал(а):

EG>>>> А это и есть веб-сервер, который соседнему серверу команду передаёт.
AK>>> если у тебя это умеет вебсервер - добро пожаловать в интересную жизнь с
AK>>> tomcat, j2ee и прочими занимательными игрушками из взрослого секс-шопа.
EG>> Спасибо, у меня с апачем всё живет.
AK> апач не имеет встроенного функционала "передать команду соседнему серверу",
AK> так что, поздравляю вас, гражданин, соврамши.

А причем тут встроенность функционала? Апач по жизни был модульно-расширяемый,
включая всякие modperl/modphp и CGI и нечего пенять ни на исполнение
дополнительного кода в контексте процесса httpd, ни на исполнение
дополнительно кода в другом процессе, но с теми же привилегиями.

AK>>> манипуляции с конфигом позволяют как превратить хренилище в полную
AK>>> мешанину, так и произвести неограниченное количество непредусмотренного
AK>>> сетевого траффика самого нежелательного для почтового сервера типа.
EG>> Это смотря какой конкретно конфиг и каким образом позволять трогать
EG>> соседнему jail. Можно просто принимать команды с параметрами, проводить
AK> а это вот все отлично реализуемо и в рамках одной системы, стандартным
AK> набором permissions/acl/setuid/ну хрен с ним, mac, если уж совсем ква.
AK> Причем, в виду отсутствия лишних прослоек и лишних ограничений видимости -
AK> можно сделать гораздо более надежно. То есть поломать могут только в случае
AK> твоей ошибки - а ее как раз в простой схеме гораздо проще не сделать или
AK> хотя бы вовремя заметить.

Проще или не проще - вопрос субъективный. Мне проще в jail отселить,
чем выпиливать фигурно по MAC.

Eugene
--- slrn/1.0.2 (FreeBSD)

Victor Sudakov написал(а) к Alex Korchmar в Nov 15 17:05:58 по местному времени:

Dear Alex,

21 Nov 15 20:22, you wrote to me:

VD>>> Так и никто не умеет. CGI без php/asp перестали попадаться в
VD>>> сети уже лет 10 как.
VS>> А вот прямо тут php или asp?
VS>> https://bugs.freebsd.org/bugzilla/sh....cgi?id=204698
AK> а тут поделка каменного века, при том адски ублюдочная как с точки
AK> зрения useability, так и с точки зрения нагрузки на сервер. Работает,
AK> потому что неуловимого джо все давно уже позабыли.

Моя реплика была ответом на "перестали попадаться" и не более того. Мне вот попадается.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20110223-b20110223

Victor Sudakov написал(а) к Valentin Davydov в Nov 15 19:50:04 по местному времени:

Dear Valentin,

20 Nov 15 15:40, Alex Korchmar wrote to you:

VD>> Есть какой-нибудь общий принцип работы с dhclientом, чтобы он,
VD>> значит, не прерывал connectivity?
AK> нету. Соответственно, правильный вариант - между загрузкой с
AK> эмулируемого диска и реальной работой по iscsi - не полагаться на
AK> сетевую связность. В линупсе это решается штатной технологией с initrd
AK> и pivot_root, а тут, видимо, придется так и жить с мемдиском.

В эхотаге делают или делали какой-то reroot, не знаю в каком состоянии это сейчас.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20110223-b20110223

Eugene Grosbein написал(а) к Vassily Kiryanov в Nov 15 23:14:50 по местному времени:

20 ноя 2015, пятница, в 09:44 NOVT, Vassily Kiryanov написал(а):

VK> Вот хочу я из одного исполняемого файла (cgi-шника) запустить исполняемый файл
VK> в другой системе (например, в соседнем jail) и его результаты (как минимум -
VK> stdout перехваченый) как-то получить и обработать. Как такое сделать наименее
VK> затратно можно, какие технологии посоветуете?

Есть минимум два пути, я использую оба. Первый годится, когда нужно
из хоста запустить что-то в jail. Если задача явно требует рута,
то можно просто запускать команду через jexec по номеру jail
(или ezjail-admin command по имени jail, если используется ezjail).

Если запускать из-под непривилигированного пользователя или из другого
jail, то это делается как и для просто двух разных хостов -
через ssh с авторизацией по публичному ключу, которому разрешено
выполнять только определенную команду. Ну, с хоста ещё можно через
sudo jexec, но такой необходимости у меня не было пока.

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Alex Korchmar в Nov 15 23:16:56 по местному времени:

20 ноя 2015, пятница, в 10:45 NOVT, Alex Korchmar написал(а):

VK>> Вот хочу я из одного исполняемого файла (cgi-шника) запустить
VK>> исполняемый файл в другой системе (например, в соседнем jail)
AK> обычно это означает дыру размером с паровоз.

Ничего подобного, никакой разницы между выполнением команды
на удаленном сервере локальным процессом с привилегиями юзера www.
У меня в технологии такое есть, например, когда оператор через
веб-интерфейс вносит изменения в конфигурацию почтового сервера,
при этом веб и почтовик работают в соседних jail. ssh и command=
для ключа решают.

Eugene
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Victor Sudakov в Nov 15 23:23:50 по местному времени:

20 ноя 2015, пятница, в 20:50 NOVT, Victor Sudakov написал(а):

VD>>> Есть какой-нибудь общий принцип работы с dhclientом, чтобы он,
VD>>> значит, не прерывал connectivity?
AK>> нету. Соответственно, правильный вариант - между загрузкой с
AK>> эмулируемого диска и реальной работой по iscsi - не полагаться на
AK>> сетевую связность. В линупсе это решается штатной технологией с initrd
AK>> и pivot_root, а тут, видимо, придется так и жить с мемдиском.
VS> В эхотаге делают или делали какой-то reroot, не знаю в каком состоянии это
VS> сейчас.

re-root это перемонтирование рута, работает так: ядро убивает все процессы,
перемонтирует рут и начинает загрузку по новой с запуска init с нового рута.
Тот же ребут, только без смены ядра.

Eugene
--- slrn/1.0.2 (FreeBSD)