Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote:
VS> IMHO что jail что chroot - разница небольшая с той точки зрения, что внутрь VS> jail/chroot придется монтировать devfs с нужными правилами именно что с нужными - то есть вовсе не с общесистемными. И ни тебе suid бинарников рядом, ни доступа к ipc, ни других процессов, ни много чего еще лишнего.
То есть даже jail в / - это уже заметное сужение вектора атаки.
VS> класть какие-то нужные файлы и т.п. Ради одного-двух демонов это еще можно VS> потерпеть, а если на каждого создавать jail/chroot - получится монструозно. на системе где работает bind, в общем-то он, как правило, один. Hу или dhcp и может радиус рядом, тоже хорошие кандидаты на туда же.
VS> А jail еще и другие ограничения имеет, например видимость IP VS> адресов из него etc. проблема multi-interface jail решена десять лет назад, в 2005м году. А 127.0.0.1 и нефиг давать разглядывать, опять же, мало ли что там...
> Alex
--- ifmail v.2.15dev5.4 * Origin: Demos online service (2:5020/400)