= Сообщение: 3803 из 10763 ===================================== RU.UNIX.BSD = От : Eugene Grosbein 2:5006/1 25 Nov 15 15:53:02 Кому : Alex Korchmar 25 Nov 15 15:53:02 Тема : Re: межсистемные вызовы исполняемых файлов FGHI : area://RU.UNIX.BSD?msgid=grosbein.net+02523ee9 На : area://RU.UNIX.BSD?msgid=ddt.demos.su+46c7dc4b = Кодировка сообщения определена как: CP866 ================================== ============================================================================== 23 ноя 2015, понедельник, в 16:01 NOVT, Alex Korchmar написал(а):
EG>>>> А это и есть веб-сервер, который соседнему серверу команду передаёт. AK>>> если у тебя это умеет вебсервер - добро пожаловать в интересную жизнь с AK>>> tomcat, j2ee и прочими занимательными игрушками из взрослого секс-шопа. EG>> Спасибо, у меня с апачем всё живет. AK> апач не имеет встроенного функционала "передать команду соседнему серверу", AK> так что, поздравляю вас, гражданин, соврамши.
А причем тут встроенность функционала? Апач по жизни был модульно-расширяемый, включая всякие mod_perl/mod_php и CGI и нечего пенять ни на исполнение дополнительного кода в контексте процесса httpd, ни на исполнение дополнительно кода в другом процессе, но с теми же привилегиями.
AK>>> манипуляции с конфигом позволяют как превратить хренилище в полную AK>>> мешанину, так и произвести неограниченное количество непредусмотренного AK>>> сетевого траффика самого нежелательного для почтового сервера типа. EG>> Это смотря какой конкретно конфиг и каким образом позволять трогать EG>> соседнему jail. Можно просто принимать команды с параметрами, проводить AK> а это вот все отлично реализуемо и в рамках одной системы, стандартным AK> набором permissions/acl/setuid/ну хрен с ним, mac, если уж совсем ква. AK> Причем, в виду отсутствия лишних прослоек и лишних ограничений видимости - AK> можно сделать гораздо более надежно. То есть поломать могут только в случае AK> _твоей_ ошибки - а ее как раз в простой схеме гораздо проще не сделать или AK> хотя бы вовремя заметить.
Проще или не проще - вопрос субъективный. Мне проще в jail отселить, чем выпиливать фигурно по MAC.
