порты на восьмерке - всьо

Alex Korchmar написал(а) к Eugene Grosbein в Feb 17 02:21:33 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

AK>> изначально он наоборот, начисто не умел chroot
EG> chroot тогда не умел, а /usr/local вместо /etc было изначально.
а как он с replace base при этом ухитрялся выжить? Уж точно не добавлением
в /etc левых строк в конфиг.

либо этот префикс вычислялся отдельно, либо ты что-то путаешь.


> Alex

--- ifmail v.2.15dev5.4

Victor Sudakov написал(а) к Eugene Grosbein в Feb 17 13:17:04 по местному времени:

Dear Eugene,

05 Feb 17 03:10, you wrote to Alex Korchmar:
AK>>>> Сломано, видимо, не так давно, иначе я бы заметил.
EG>>> Изначально как порт появился.
AK>> изначально он наоборот, начисто не умел chroot

EG> chroot тогда не умел, а /usr/local вместо /etc было изначально.

А был толк в этом chroot? Я его по жизни отключал, может напрасно?

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Alex Korchmar написал(а) к Victor Sudakov в Feb 17 12:25:49 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote:

AK>>> изначально он наоборот, начисто не умел chroot
EG>> chroot тогда не умел, а /usr/local вместо /etc было изначально.
VS> А был толк в этом chroot? Я его по жизни отключал, может напрасно?
был, учитывая количество гнили внутри bind, включая и remote code exec
Правильнее, конечно, подобную гниль вообще уносить в jail, но bsd'шники
почему-то очень не любят этот подход в системных скриптах.
(то есть вот банальная замена $appbinary на "jail / $appbinary" уже сильно
уменьшает возможности для шаловливых ручонок, не требуя вообще ничего особо
менять.)


> Alex

--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Eugene Grosbein в Feb 17 12:35:19 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

AK>> А то еще и найдешь не то - копию в local, созданую шибкоумным
AK>> установщиком.
EG>>> для тебя диверсия, а нештатная сборка не диверсия, то пожалуйста.
AK>> а вот ее видно сразу
EG> Ну, то есть вкусовщина, как всегда у тебя.
нет, банальное понимание, что сразу видно, а что - нет.

Странности в виде одной строки в конфиге из нескольких сот - не видно.
Когда ты в /usr/local/etc, а там опа, вообще нет конфига, то, вероятно, да, тут
нештатная сборка, надо бы у кого-то спросить, что в ней необычного помимо путей.

Когда у тебя в голове привычки с версии 4 или линукса, а они - просто
срабатывают, без загадочных строк в конфигах - тоже неплохо ;-)


> Alex

--- ifmail v.2.15dev5.4

Victor Sudakov написал(а) к Alex Korchmar в Feb 17 17:27:50 по местному времени:

Dear Alex,

05 Feb 17 12:25, you wrote to me:

AK>>>> изначально он наоборот, начисто не умел chroot
EG>>> chroot тогда не умел, а /usr/local вместо /etc было изначально.
VS>> А был толк в этом chroot? Я его по жизни отключал, может напрасно?
AK> был, учитывая количество гнили внутри bind, включая и remote code exec
AK> Правильнее, конечно, подобную гниль вообще уносить в jail, но
AK> bsd'шники почему-то очень не любят этот подход в системных
AK> скриптах. (то есть вот банальная замена $app_binary на "jail /
AK> $app_binary" уже сильно уменьшает возможности для шаловливых ручонок,
AK> не требуя вообще ничего особо менять.)

IMНO что jail что chroot - разница небольшая с той точки зрения, что внутрь jail/chroot придется монтировать devfs с нужными правилами, создавать каталоги, класть какие-то нужные файлы и т.п. Ради одного-двух демонов это еще можно потерпеть, а если на каждого создавать jail/chroot - получится монструозно.

А jail еще и другие ограничения имеет, например видимость IP адресов из него etc.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Alex Korchmar написал(а) к Victor Sudakov в Feb 17 16:37:55 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote:

VS> IMНO что jail что chroot - разница небольшая с той точки зрения, что внутрь
VS> jail/chroot придется монтировать devfs с нужными правилами
именно что с нужными - то есть вовсе не с общесистемными. И ни тебе
suid бинарников рядом, ни доступа к ipc, ни других процессов, ни много чего
еще лишнего.

То есть даже jail в / - это уже заметное сужение вектора атаки.

VS> класть какие-то нужные файлы и т.п. Ради одного-двух демонов это еще можно
VS> потерпеть, а если на каждого создавать jail/chroot - получится монструозно.
на системе где работает bind, в общем-то он, как правило, один. Ну или dhcp
и может радиус рядом, тоже хорошие кандидаты на туда же.

VS> А jail еще и другие ограничения имеет, например видимость IP
VS> адресов из него etc.
проблема multi-interface jail решена десять лет назад, в 2005м году.
А 127.0.0.1 и нефиг давать разглядывать, опять же, мало ли что там...

> Alex

--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Victor Sudakov в Feb 17 19:43:38 по местному времени:

05 фев 2017, воскресенье, в 14:17 NOVT, Victor Sudakov написал(а):

AK>>>>> Сломано, видимо, не так давно, иначе я бы заметил.
EG>>>> Изначально как порт появился.
AK>>> изначально он наоборот, начисто не умел chroot
EG>> chroot тогда не умел, а /usr/local вместо /etc было изначально.
VS> А был толк в этом chroot? Я его по жизни отключал, может напрасно?

Его ввели после нескольких эпизодов remote root exploit через BIND.

Eugene
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Alex Korchmar в Feb 17 19:51:52 по местному времени:

05 фев 2017, воскресенье, в 03:21 NOVT, Alex Korchmar написал(а):

AK>>> изначально он наоборот, начисто не умел chroot
EG>> chroot тогда не умел, а /usr/local вместо /etc было изначально.
AK> а как он с replace base при этом ухитрялся выжить? Уж точно не добавлением
AK> в /etc левых строк в конфиг.
AK> либо этот префикс вычислялся отдельно, либо ты что-то путаешь.

--sysconfdir=${BIND_DESTETC} для configure и условное определение
BIND_DESTETC от опций порта.

Eugene
--
Прекрасны тонко отшлифованная драгоценность; победитель, раненный в бою;
слон во время течки; река, высыхающая зимой; луна на исходе; юная женщина,
изнуренная наслаждением, и даятель, отдавший все нищим. (Дхарма)
--- slrn/1.0.2 (FreeBSD)

Victor Sudakov написал(а) к Eugene Grosbein в Feb 17 23:16:16 по местному времени:

Dear Eugene,

05 Feb 17 19:43, you wrote to me:

AK>>>>>> Сломано, видимо, не так давно, иначе я бы заметил.
EG>>>>> Изначально как порт появился.
AK>>>> изначально он наоборот, начисто не умел chroot
EG>>> chroot тогда не умел, а /usr/local вместо /etc было изначально.
VS>> А был толк в этом chroot? Я его по жизни отключал, может
VS>> напрасно?

EG> Его ввели после нескольких эпизодов remote root exploit через BIND.

Я уже и не помню, что появилось раньше: запуск в chroot или запуск от пользователя bind.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Eugene Grosbein написал(а) к Alex Korchmar в Feb 17 02:29:24 по местному времени:

05 фев 2017, воскресенье, в 17:37 NOVT, Alex Korchmar написал(а):

AK> на системе где работает bind, в общем-то он, как правило, один. Ну или dhcp
AK> и может радиус рядом, тоже хорошие кандидаты на туда же.

Ну разве что у тебя он там один или с dhcp.
У bind так много ролей, что у меня он почти всегда есть -
если даже не первичным, то вторичным авторитетным пашет
или просто кеширующим локальным, а часто и рекурсивным.

Eugene
--- slrn/1.0.2 (FreeBSD)