[FreeBSD] Jail kerdes
Attila Nagy
bra at fsn.hu
2001. Már. 25., V, 18:13:05 CEST
Hello,
> levlistakon, talan meg ezen is, a jail ugyrol meg van Security
> Advisory is, meg en tettem fel rola a hirt a bsd.hu-ra. Termeszetesen
> azota mindket esetet kijavitottak, es mindketto a megvalositas hibaja
> es nem az elveke.
A 00:77-es SA-ra gondolsz?
Gondolom igen. Erdemes elolvasni a BUGTRAQ-ra kuldott levelet Esa
Etelavuorinak.
Ezzel a hibaval egy korultekinto adminisztrator jailjebol a kovetkezok
miatt nem tudnanak kijonni:
- nincs felmountolva minden jailbe a procfs
- a jail.set_hostname sysctl 0-ra van allitva
Az eredeti levelbol kiderul, hogy a jail kodnak leginkabb semmi koze nincs
a problemahoz (leszamitva a 255 karakternel hosszabb megadott hostnevet),
viszont a procfsnek annak inkabb.
Az exploit is eleg durva volt, nem az az inditsunk /bin/sh-t jellegu...
> tartok tole, hogy az 5.0 olyan lesz, mint a 2.4-es Linux kernel,
> baromi sokaig keszulget majd...
Az vegulis nem baj. Csak masban ne legyenek osszehasonlithatok :)
> Egyszoval en nagyon realisnak tartom, hogy meg osz vegen is -CURRENT
> lesz az 5.0, mivel nyaron amugy is pang a melo, a sok vakacio...
Nem mondom, hogy nincs igazad, mert en is igy erzem.
Viszont azt sem banom, hogyha ennek eredmenyekeppen egy jo 4-es agat
kapunk.
> Ha neked van kedved hozza, hogy naprakesz legyel a "jujj! Kiprobaltam
> a -CURRENT-et mert azt mondtatok tok jo es most nem indul a gepem!"
> osszes lehetseges, neha oraraol-orara valtozo okaibol, akkor csak
> tessek, biztasd az embereket...
Olyan negativ vagy. En mast irtam. Aki szervert akar az hasznaljon 4-est.
De aki szeretne kiprobalni olyan dolgokat, amik (remelhetoleg) benne
lesznek a kovetkezo verzioban, hogy el tudja donteni melyiket erdemes
hasznalni (FreeBSD <-> Linux millio kis security patch-csel, amik egy uj
kernelre nem alkalmazhatok, lasd medusa) az nezzen ra a -CURRENT-re.
Ha bugreportokat is kuld akkor meg kulonsen hasznos.
> nagy to tulpartjan, hatha kidol a liszt... arrol nem beszelve, hogy
> -CURRENT-et nem lehet csakugy "kiprobalni" (felteve, hogy nem
> szandekozol full reinstallokat csinalni adott esetben surun) az egy
Dehogynem. A -CURRENT-ben benne van mar az UFS snapshot funkcioja. Ha a
buildworld elcseszi a cuccot csak visszateszed a regit =]
> vagyok biztos, hogy a -stable listan hanyan vannak fenn kis hazankbol,
> de korabban azt tapasztaltam, hogy nem lehettunk sokan. Es frissiteni
Pedig sokan olvassak azt is, csak read-only modban :)
> Persze package-kkel nem lehet csalni, mert azok nincsenek. Nem tudom,
> hanyan forditottak pl mar le az X-et a gepukon portbol... szoval
En kettot szemelyesen is ismerek.
Az elejet bevallom untam. :)
--------------------------------------------------------------------------
Attila Nagy e-mail: Attila.Nagy at fsn.hu
Budapest Polytechnic (BMF.HU) @work: +361 210 1415 (194)
H-1084 Budapest, Tavaszmezo u. 15-17. cell.: +3630 306 6758
További információk a(z) BSD levelezőlistáról