Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: Изолирование данных процесса на диске.  (Прочитано 14742 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Aether
Специалист

ru
Offline Offline
Пол: Мужской

« : 19-09-2017 19:20 » 

Добрый вечер.

Хочу проконсультироваться: можно ли сделать так, чтобы запущенный процесс видел указанную директорию как корневую директорию?

То есть, например, имеется директория: "/home/t_user". При попытке программно выяснить местоположение оно должно определяться как "/". При попытке из программы записать в "/" должна происходить фактическая запись в "/home/t_user".
Записан
Finch
Спокойный
Администратор

il
Offline Offline
Пол: Мужской
Пролетал мимо


« Ответ #1 : 19-09-2017 19:43 » 

Как вариант chroot Например, если ты хочеш проделать это с apache. То он умеет делать песочницу из коробки. Нужно только прописать конфиги. Также могут быть проблемы с Selinux.
« Последнее редактирование: 19-09-2017 19:49 от Finch » Записан

Не будите спашяго дракона.
             Джаффар (Коша)
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #2 : 19-09-2017 21:25 » 

Важно помнить, что пользоваться библиотеками и запускать команды на пределами chroot тоже нельзя. Также не помогут симлинки. Нужно сразу скопировать все нужно или сделать жесткие ссылки. Процесс не может вернуться из chroot. Все его потомки тоже находятся в его корне. Но остаются доступны ядерные и сетевые ресурсы. Файлы,  открытые до chroot, по прежнему доступны.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Aether
Специалист

ru
Offline Offline
Пол: Мужской

« Ответ #3 : 20-09-2017 05:39 » 

Как вариант chroot Например, если ты хочеш проделать это с apache.
Нет, просто нужно пространство для безопасного тестирования.

Процесс не может вернуться из chroot.
А что будет, если процесс сделает ещё один вызов chroot с указанием корневой директории? Будет использоваться глобальный или локальный путь?
Записан
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #4 : 20-09-2017 07:33 » 

Aether, было бы очень странно, если бы можно было вернуть назад. Никакие ограничения не восстанавливаются.

Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Aether
Специалист

ru
Offline Offline
Пол: Мужской

« Ответ #5 : 20-09-2017 08:43 » 

Прочёл вот такую вещь:
(click to show)
...
       This call changes an ingredient in the pathname resolution process
       and does nothing else.  In particular, it is not intended to be used
       for any kind of security purpose, neither to fully sandbox a process
       nor to restrict filesystem system calls.  In the past, chroot() has
       been used by daemons to restrict themselves prior to passing paths
       supplied by untrusted users to system calls such as open(2).
       However, if a folder is moved out of the chroot directory, an
       attacker can exploit that to get out of the chroot directory as well.
       The easiest way to do that is to chdir(2) to the to-be-moved
       directory, wait for it to be moved out, then open a path like
       ../../../etc/passwd.

       A slightly trickier variation also works under some circumstances if
       chdir(2) is not permitted.  If a daemon allows a "chroot directory"
       to be specified, that usually means that if you want to prevent
       remote users from accessing files outside the chroot directory, you
       must ensure that folders are never moved out of it.

       This call does not change the current working directory, so that
       after the call '.' can be outside the tree rooted at '/'.  In
       particular, the superuser can escape from a "chroot jail" by doing:

           mkdir foo; chroot foo; cd ..

       This call does not close open file descriptors, and such file
       descriptors may allow access to files outside the chroot tree.
...
Записан
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #6 : 20-09-2017 21:03 » 

Все верно. Ты же это и просил.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines