jail

Belansky · Отправлено: **20:53, 05-04-2004** | #11

Дискового пространства jail потребляет больше, но не других ресурсов.
И установка не полноценная, ядро собирать не нужно.

mar · Отправлено: **15:21, 07-04-2004** | #12

c chroot все (и ssh и ftp одновременно) заработало. Похоже и раньше работало: то ли у меня в голове глюк был, то ли я по модему и через несколько машин во внутреннюю сетку криво пролезала

Попробовала поставить jail (честный)
Первые впечатления -
ps, top, pwd, ls - все хорошо, сидим внутри
df дает полное представление о настоящей структуре диска. fdisk - jail-ного рута тоже показывает настоящий
что-то мне это не нравится

и еще - что же туда всю коллекцию портов заливать?

Belansky · Отправлено: **18:01, 07-04-2004** | #13

Цитата:

что же туда всю коллекцию портов заливать?

Порты можно залить все, а собрать только то, что нужно.

Цитата:

df дает полное представление о настоящей структуре диска

Так оно и работает. df выдает информацию о физических дисках, а в jail их нет. Но, это никак не отображается на безопасности системы. Пользователи, которые заходят в каталог по ftp, изначально лишены возможности обращения к таким командам.

mar · Отправлено: **19:18, 07-04-2004** | #14

Цитата:

Пользователи, которые заходят в каталог по ftp, изначально лишены возможности обращения к таким командам.

это я понимаю

по ftp вполне достаточно ftpchroot - юзеры без шелла. Просто интересно
1) вообще в этом разобраться
2) есть несколько бойцов, которые явно поросят шелл (не на этой, так на других машинах), поэтому надо бы научиться делать полноценную, но безопасную песочницу. (это ребята, которым я доверяю чисто по-человечески, но мало тренированные

3) может возникнуть необходимость дать ftp+apache+mod_php+mysql (как хостинг) людям, которым я ни на грош не доверяю, но начальство может руки выкрутить - лучше подготовиться
4) есть люди, которым надо зайти по ftp, положить свои странички, но этим достаточно ftpchroot
вот. ну и еще раз - разобраться-то охота

Belansky · Отправлено: **08:43, 08-04-2004** | #15

Вот для таких целей и служит jail. Покопался еще в литературе и уяснил для себя, что тотже Apache и иже с ним лучше собрать по-новой в окружении jail, так как он и иже с ним ищет библиотеки, модули и конфиги в определенных каталогах и расположение таковых в нетрадиционных местах требует ручного указание их местоположения, что по невнимательности может привести в ошибкам и, как следствие, к нестабильности.