[FreeBSD] Jail kerdes

[Attila Nagy]

Hello,

> levlistakon, talan meg ezen is, a jail ugyrol meg van Security
> Advisory is, meg en tettem fel rola a hirt a bsd.hu-ra. Termeszetesen
> azota mindket esetet kijavitottak, es mindketto a megvalositas hibaja
> es nem az elveke.
A 00:77-es SA-ra gondolsz?
Gondolom igen. Erdemes elolvasni a BUGTRAQ-ra kuldott levelet Esa
Etelavuorinak.
Ezzel a hibaval egy korultekinto adminisztrator jailjebol a kovetkezok
miatt nem tudnanak kijonni:
- nincs felmountolva minden jailbe a procfs
- a jail.set_hostname sysctl 0-ra van allitva

Az eredeti levelbol kiderul, hogy a jail kodnak leginkabb semmi koze nincs
a problemahoz (leszamitva a 255 karakternel hosszabb megadott hostnevet),
viszont a procfsnek annak inkabb.

Az exploit is eleg durva volt, nem az az inditsunk /bin/sh-t jellegu...

> tartok tole, hogy az 5.0 olyan lesz, mint a 2.4-es Linux kernel,
> baromi sokaig keszulget majd...
Az vegulis nem baj. Csak masban ne legyenek osszehasonlithatok :)

> Egyszoval en nagyon realisnak tartom, hogy meg osz vegen is -CURRENT
> lesz az 5.0, mivel nyaron amugy is pang a melo, a sok vakacio...
Nem mondom, hogy nincs igazad, mert en is igy erzem.
Viszont azt sem banom, hogyha ennek eredmenyekeppen egy jo 4-es agat
kapunk.

> Ha neked van kedved hozza, hogy naprakesz legyel a "jujj! Kiprobaltam
> a -CURRENT-et mert azt mondtatok tok jo es most nem indul a gepem!"
> osszes lehetseges, neha oraraol-orara valtozo okaibol, akkor csak
> tessek, biztasd az embereket...
Olyan negativ vagy. En mast irtam. Aki szervert akar az hasznaljon 4-est.
De aki szeretne kiprobalni olyan dolgokat, amik (remelhetoleg) benne
lesznek a kovetkezo verzioban, hogy el tudja donteni melyiket erdemes
hasznalni (FreeBSD <-> Linux millio kis security patch-csel, amik egy uj
kernelre nem alkalmazhatok, lasd medusa) az nezzen ra a -CURRENT-re.
Ha bugreportokat is kuld akkor meg kulonsen hasznos.

> nagy to tulpartjan, hatha kidol a liszt... arrol nem beszelve, hogy
> -CURRENT-et nem lehet csakugy "kiprobalni" (felteve, hogy nem
> szandekozol full reinstallokat csinalni adott esetben surun) az egy
Dehogynem. A -CURRENT-ben benne van mar az UFS snapshot funkcioja. Ha a
buildworld elcseszi a cuccot csak visszateszed a regit =]

> vagyok biztos, hogy a -stable listan hanyan vannak fenn kis hazankbol,
> de korabban azt tapasztaltam, hogy nem lehettunk sokan. Es frissiteni
Pedig sokan olvassak azt is, csak read-only modban :)

> Persze package-kkel nem lehet csalni, mert azok nincsenek. Nem tudom,
> hanyan forditottak pl mar le az X-et a gepukon portbol... szoval
En kettot szemelyesen is ismerek.
Az elejet bevallom untam. :)

--------------------------------------------------------------------------
Attila Nagy                                    e-mail:  Attila.Nagy at fsn.hu
Budapest Polytechnic (BMF.HU)                   @work: +361 210 1415 (194)
H-1084 Budapest, Tavaszmezo u. 15-17.           cell.: +3630 306 6758