А в чем глубокий смысл запихивания apache и php в chroot? Ведь по сути
приходится создавать внутри chrooted директории почти полный аналог
всей системы! К тому же очень сомнительна защита таким способом.
Apache запускается под рутом. Привилегии полностью не сбрасывает.
Поиграть с capability в BSD нельзя. Если будет найдена дырка в apache,
теоретически можно получить рута и пробить chroot... Где выигрыш?
Саныч, опенбсдшники уже неоднократно показали всему миру чего стоят.
Так что не нужно нам трендеть про распрекрасную спящую красавицу опенбсд, которую пользовали два раза за семь лет, а многократно в попу и минет типа не считается ;))
> Где ?
А при запуске под кем работаем ?
Такую красивую картинку ps aux | grep httpd без рута я тебе и под линуксом могу показать. Впрочем это квакер не в тему выпе, а не ты.
2anonymous (*) (12.02.2004 18:57:20)
Ну ты поэт !!! :-)
Медленно, но верно, народ начинает осознавать слово namespace :)
IMHO двигаемся к идеям plan9 с разных сторон :)
с одной лишь разницей ... что там оно правильно сделано, а
в BSD/UNIX(r)/Linux как обычно ... через выхлопную трубу ...
In the case of httpd(8), the program starts, opens its log files, binds to its TCP ports (though, it doesn't accept data yet), and reads its configuration. Next, it locks itself into /var/www and drops privileges, then starts to accept requests.
А на www.securitylab.ru в разделе аналитика написано все тоже самое и на русском. и работает именно под FreeBSD. Глубокий смысл засовывания Apche в chroot вижу только когда несколько сотен виртуальных хостов.
Задумка интересная, но глубокий смысл не раскрывает.
Ладно, а как будет работать suexec (мне он нужен обязательно)?
Далее интересный момент с php. На платном хостинге php должен быть
собран с макcимальным количеством фич. То есть к нему нужна туева хуча
динамических библиотек. Если все как надо сделать, то внутри chroot
будет баальшая, практически полноценная система.
Дык вот, я опять спрашиваю, в чем глубокий смысл? Если машина работает
только как веб-сервер и хостит сотни виртуальных доменов, то не проще
ли оставить все как есть, и не изобретать велосипед второго уровня?
Кто-нибудь может назвать реальные живые преимущества chroot в такой
конфигурации, которые стОили бы лишних телодвижений по созданию chrooted
environment?
Блин,пацаны!!! Я какой раз хочу найти ответ здесь, но похоже, не судьба, а ЖОПА. Ну скока можно??? Ну, блин, сдалайте MODERATED доступ для нормальних людей, блин! Я бы хотел зарегистится, но на кой? Опять читать эту хню????? Бл...ин!!! Ну есть же тут профессионалы, ну в чем дело??? Надо сайт сделать? Давай замутим на MDRPO (www.maxdev.com) я там девелопер, ну зае.....ело это вссе!!!!