| View previous topic :: View next topic |
| Author |
Message |
viera
n00b
Joined: 11 Dec 2007
Posts: 0
|
 Posted: Tue Dec 11, 2007 11:29 am Post subject: jailowanie userów/usług..? |
 |
|
Tak się zastanawiam..
Zawsze mogę zrobić mkdir /home/chroots/www, wejść tam, zassać stage, chrootować się, dokompilować apache + php + cotamtylkochce.
Ale wtedy mam sporo niepotrzebnych pakietów...
Mogę na głównym emergować apache + php + cotamtylkochce i poprzenosić korzystając z ldd by dowiedzieć się z czego co korzysta, ale - co potem? Usunąć apache+reszta z głównego systemu? co z aktualizacją? Trzymać apacha+reszta w / i w /home/chroots/www?
Pytam o apacha, ale sytuacja ma się analogicznie np z chrootem dla użytkowników tylko z ekg i screenem bądź dla ftpa i innych.
Jak to rozwiązujecie?
Jakieś PREFIX="/home/chroots/www" emerge -av apache? 
Edit: Znalazłem coś takiego:
http://gentoo-wiki.com/Apache_chroot:_the_mod_security_way#Building_the_jail
| Code: |
# mv /etc/apache2 /wwwjail/etc/
# ln -s /wwwjail/etc/apache2 /etc/apache2
# mkdir /wwwjail/etc/conf.d -p
# mv /etc/conf.d/apache2 /wwwjail/etc/conf.d/apache2
# ln -s /wwwjail/etc/conf.d/apache2 /etc/conf.d/apache2
|
Ale przy: emerge -av apache tomcat
pozycji do emergoania (i potem przenoszenia + tworzenia symlinków) :
Total: 38 packages (37 new, 1 in new slot), Size of downloads: 168,423 kB
Więc tak trochę.. no, sporo pracy, a potem sporo pracy w wykrywaniu czego się zapomniało, że nie chodzi. Można jakoś inaczej? |
|
| Back to top |
|
 |
no4b
Bodhisattva
Joined: 18 Jan 2004
Posts: 774
Location: Tarnów, Poland
|
|
| Back to top |
|
|
viera
n00b
Joined: 11 Dec 2007
Posts: 0
|
| Posted: Wed Dec 12, 2007 10:44 am Post subject: |
|
|
| no4b wrote: | | http://linux-vserver.org/Welcome_to_Linux-VServer.org |
Czy jest sens stawiać jakiegoś virtualka np by zamknąć tomcata w jailu?
Już chyba wolę zemergować na systemie normalnie, potem wszystkie pliki przenosić do /chroot/tomcat i tworzyć linki np
/etc/tomcat -> /chroot/tomcat/etc/tomcat.
Niepotrzebuje drugiego systemu, a trochę bezpieczeństwa (chroot) + limitowanie użytkownika (jail) by się przydało.. |
|
| Back to top |
|
|
pajter
n00b
Joined: 14 Apr 2005
Posts: 24
|
| Posted: Thu Dec 13, 2007 8:46 am Post subject: |
|
|
| viera wrote: | | no4b wrote: | | http://linux-vserver.org/Welcome_to_Linux-VServer.org |
Czy jest sens stawiać jakiegoś virtualka np by zamknąć tomcata w jailu?
|
No i vserver nie działa z hardened-sources. |
|
| Back to top |
|
|
SlashBeast
Moderator
Joined: 23 May 2006
Posts: 2722
|
| Posted: Thu Dec 13, 2007 10:03 am Post subject: |
|
|
Za czasów PLD, gdy domyślnym kernelem był kernel z grsecurity miałem kupe usług w jailu pozamykanych i to dzialało bardzo ładnie.
_________________
github |
|
| Back to top |
|
|
|
Polskie forum (Polish) 
