#11
|
|||
|
|||
Re: порты на восьмерке - всьо
Alex Korchmar написал(а) к Eugene Grosbein в Feb 17 02:21:33 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote: AK>> изначально он наоборот, начисто не умел chroot EG> chroot тогда не умел, а /usr/local вместо /etc было изначально. а как он с replace base при этом ухитрялся выжить? Уж точно не добавлением в /etc левых строк в конфиг. либо этот префикс вычислялся отдельно, либо ты что-то путаешь. > Alex --- ifmail v.2.15dev5.4 |
#12
|
|||
|
|||
порты на восьмерке - всьо
Victor Sudakov написал(а) к Eugene Grosbein в Feb 17 13:17:04 по местному времени:
Dear Eugene, 05 Feb 17 03:10, you wrote to Alex Korchmar: AK>>>> Сломано, видимо, не так давно, иначе я бы заметил. EG>>> Изначально как порт появился. AK>> изначально он наоборот, начисто не умел chroot EG> chroot тогда не умел, а /usr/local вместо /etc было изначально. А был толк в этом chroot? Я его по жизни отключал, может напрасно? Victor Sudakov, VAS4-RIPE, VAS47-RIPN --- GoldED+/BSD 1.1.5-b20160322-b20160322 |
#13
|
|||
|
|||
Re: порты на восьмерке - всьо
Alex Korchmar написал(а) к Victor Sudakov в Feb 17 12:25:49 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote: AK>>> изначально он наоборот, начисто не умел chroot EG>> chroot тогда не умел, а /usr/local вместо /etc было изначально. VS> А был толк в этом chroot? Я его по жизни отключал, может напрасно? был, учитывая количество гнили внутри bind, включая и remote code exec Правильнее, конечно, подобную гниль вообще уносить в jail, но bsd'шники почему-то очень не любят этот подход в системных скриптах. (то есть вот банальная замена $appbinary на "jail / $appbinary" уже сильно уменьшает возможности для шаловливых ручонок, не требуя вообще ничего особо менять.) > Alex --- ifmail v.2.15dev5.4 |
#14
|
|||
|
|||
Re: порты на восьмерке - всьо
Alex Korchmar написал(а) к Eugene Grosbein в Feb 17 12:35:19 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote: AK>> А то еще и найдешь не то - копию в local, созданую шибкоумным AK>> установщиком. EG>>> для тебя диверсия, а нештатная сборка не диверсия, то пожалуйста. AK>> а вот ее видно сразу EG> Ну, то есть вкусовщина, как всегда у тебя. нет, банальное понимание, что сразу видно, а что - нет. Странности в виде одной строки в конфиге из нескольких сот - не видно. Когда ты в /usr/local/etc, а там опа, вообще нет конфига, то, вероятно, да, тут нештатная сборка, надо бы у кого-то спросить, что в ней необычного помимо путей. Когда у тебя в голове привычки с версии 4 или линукса, а они - просто срабатывают, без загадочных строк в конфигах - тоже неплохо ;-) > Alex --- ifmail v.2.15dev5.4 |
#15
|
|||
|
|||
порты на восьмерке - всьо
Victor Sudakov написал(а) к Alex Korchmar в Feb 17 17:27:50 по местному времени:
Dear Alex, 05 Feb 17 12:25, you wrote to me: AK>>>> изначально он наоборот, начисто не умел chroot EG>>> chroot тогда не умел, а /usr/local вместо /etc было изначально. VS>> А был толк в этом chroot? Я его по жизни отключал, может напрасно? AK> был, учитывая количество гнили внутри bind, включая и remote code exec AK> Правильнее, конечно, подобную гниль вообще уносить в jail, но AK> bsd'шники почему-то очень не любят этот подход в системных AK> скриптах. (то есть вот банальная замена $app_binary на "jail / AK> $app_binary" уже сильно уменьшает возможности для шаловливых ручонок, AK> не требуя вообще ничего особо менять.) IMНO что jail что chroot - разница небольшая с той точки зрения, что внутрь jail/chroot придется монтировать devfs с нужными правилами, создавать каталоги, класть какие-то нужные файлы и т.п. Ради одного-двух демонов это еще можно потерпеть, а если на каждого создавать jail/chroot - получится монструозно. А jail еще и другие ограничения имеет, например видимость IP адресов из него etc. Victor Sudakov, VAS4-RIPE, VAS47-RIPN --- GoldED+/BSD 1.1.5-b20160322-b20160322 |
#16
|
|||
|
|||
Re: порты на восьмерке - всьо
Alex Korchmar написал(а) к Victor Sudakov в Feb 17 16:37:55 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote: VS> IMНO что jail что chroot - разница небольшая с той точки зрения, что внутрь VS> jail/chroot придется монтировать devfs с нужными правилами именно что с нужными - то есть вовсе не с общесистемными. И ни тебе suid бинарников рядом, ни доступа к ipc, ни других процессов, ни много чего еще лишнего. То есть даже jail в / - это уже заметное сужение вектора атаки. VS> класть какие-то нужные файлы и т.п. Ради одного-двух демонов это еще можно VS> потерпеть, а если на каждого создавать jail/chroot - получится монструозно. на системе где работает bind, в общем-то он, как правило, один. Ну или dhcp и может радиус рядом, тоже хорошие кандидаты на туда же. VS> А jail еще и другие ограничения имеет, например видимость IP VS> адресов из него etc. проблема multi-interface jail решена десять лет назад, в 2005м году. А 127.0.0.1 и нефиг давать разглядывать, опять же, мало ли что там... > Alex --- ifmail v.2.15dev5.4 |
#17
|
|||
|
|||
Re: порты на восьмерке - всьо
Eugene Grosbein написал(а) к Victor Sudakov в Feb 17 19:43:38 по местному времени:
05 фев 2017, воскресенье, в 14:17 NOVT, Victor Sudakov написал(а): AK>>>>> Сломано, видимо, не так давно, иначе я бы заметил. EG>>>> Изначально как порт появился. AK>>> изначально он наоборот, начисто не умел chroot EG>> chroot тогда не умел, а /usr/local вместо /etc было изначально. VS> А был толк в этом chroot? Я его по жизни отключал, может напрасно? Его ввели после нескольких эпизодов remote root exploit через BIND. Eugene --- slrn/1.0.2 (FreeBSD) |
#18
|
|||
|
|||
Re: порты на восьмерке - всьо
Eugene Grosbein написал(а) к Alex Korchmar в Feb 17 19:51:52 по местному времени:
05 фев 2017, воскресенье, в 03:21 NOVT, Alex Korchmar написал(а): AK>>> изначально он наоборот, начисто не умел chroot EG>> chroot тогда не умел, а /usr/local вместо /etc было изначально. AK> а как он с replace base при этом ухитрялся выжить? Уж точно не добавлением AK> в /etc левых строк в конфиг. AK> либо этот префикс вычислялся отдельно, либо ты что-то путаешь. --sysconfdir=${BIND_DESTETC} для configure и условное определение BIND_DESTETC от опций порта. Eugene -- Прекрасны тонко отшлифованная драгоценность; победитель, раненный в бою; слон во время течки; река, высыхающая зимой; луна на исходе; юная женщина, изнуренная наслаждением, и даятель, отдавший все нищим. (Дхарма) --- slrn/1.0.2 (FreeBSD) |
#19
|
|||
|
|||
порты на восьмерке - всьо
Victor Sudakov написал(а) к Eugene Grosbein в Feb 17 23:16:16 по местному времени:
Dear Eugene, 05 Feb 17 19:43, you wrote to me: AK>>>>>> Сломано, видимо, не так давно, иначе я бы заметил. EG>>>>> Изначально как порт появился. AK>>>> изначально он наоборот, начисто не умел chroot EG>>> chroot тогда не умел, а /usr/local вместо /etc было изначально. VS>> А был толк в этом chroot? Я его по жизни отключал, может VS>> напрасно? EG> Его ввели после нескольких эпизодов remote root exploit через BIND. Я уже и не помню, что появилось раньше: запуск в chroot или запуск от пользователя bind. Victor Sudakov, VAS4-RIPE, VAS47-RIPN --- GoldED+/BSD 1.1.5-b20160322-b20160322 |
#20
|
|||
|
|||
Re: порты на восьмерке - всьо
Eugene Grosbein написал(а) к Alex Korchmar в Feb 17 02:29:24 по местному времени:
05 фев 2017, воскресенье, в 17:37 NOVT, Alex Korchmar написал(а): AK> на системе где работает bind, в общем-то он, как правило, один. Ну или dhcp AK> и может радиус рядом, тоже хорошие кандидаты на туда же. Ну разве что у тебя он там один или с dhcp. У bind так много ролей, что у меня он почти всегда есть - если даже не первичным, то вторичным авторитетным пашет или просто кеширующим локальным, а часто и рекурсивным. Eugene --- slrn/1.0.2 (FreeBSD) |