[FreeBSD] Jail kerdes

Adam Szilveszter sziszi at bsd.hu
2001. Már. 25., V, 19:16:44 CEST


Hali!

On Sun, Mar 25, 2001 at 06:13:05PM +0200, Attila Nagy wrote:
> A 00:77-es SA-ra gondolsz?
> Gondolom igen. Erdemes elolvasni a BUGTRAQ-ra kuldott levelet Esa
> Etelavuorinak.

Neztem anno de mar nem tegnap volt...:-) es mivel engem nem erintett,
ezert...:-)

> Ezzel a hibaval egy korultekinto adminisztrator jailjebol a kovetkezok
> miatt nem tudnanak kijonni:
> - nincs felmountolva minden jailbe a procfs
> - a jail.set_hostname sysctl 0-ra van allitva

Persze a helyes konfiguracio nagyon fontos.
 
> Az eredeti levelbol kiderul, hogy a jail kodnak leginkabb semmi koze nincs
> a problemahoz (leszamitva a 255 karakternel hosszabb megadott hostnevet),
> viszont a procfsnek annak inkabb.

Igen. Erre emlekszem, hogy a procfs volt a foludas. De mivel le mernem
fogadni, hogy a FreeBSD rendszerek 90+%-aban standard mountolva van ezert
ez egy nagyon sulyos problema volt...

> Az exploit is eleg durva volt, nem az az inditsunk /bin/sh-t jellegu...

Az igenyes exploitok nem ugy kezdodnek, hogy 

# Wh0!Wh0!3l33t hax0rz al3rt!
# This is dangerous script. F**k y0u all!
#!/bin/sh

Szerencsere meg van ahol szinvonal is van:-)

> > tartok tole, hogy az 5.0 olyan lesz, mint a 2.4-es Linux kernel,
> > baromi sokaig keszulget majd...
> Az vegulis nem baj. Csak masban ne legyenek osszehasonlithatok :)
 
Nem tetszik? (Komolyan kerdezem es ha akarod maganban valaszolj hogy ne
legyen flame... mi ui fogjuk hasznalni a koliban es szeretnem tudni a
sztorit. A szerver ugyanis nem fog atallni BSD-re belathato idon belul:-)

> Nem mondom, hogy nincs igazad, mert en is igy erzem.
> Viszont azt sem banom, hogyha ennek eredmenyekeppen egy jo 4-es agat
> kapunk.

A kettonek sajnos nem hiszem hogy sok osszefuggese van... de legyen igazad.

> Olyan negativ vagy. En mast irtam. Aki szervert akar az hasznaljon 4-est.

A gepem azt mondta az elobb:

Fatal Trap 12 with interrupts disabled.

Kiprobaltam, mi lesz ha beteszem a midi-t a kernelbe. Mar ment is a report
a -current-re. Sajnos dump meg nincs, mert nem hajlando ra. Serial console
meg plane nincs.

Es ez meg csak az egyik volt a mai tesztprogrambol...

De neeeem en nem vagyok negativ. Csak egyszeruen azt hiszem, hogy ha valaki
hasznalni szeretne a gepet (akar workstationnek) akkor nem ajanlom a
-CURRENT-et. Ha csak annyi a funkcioja, hogy egyaltalan menjen, akkor
persze nyugodtan... itt nem sokkal tobbet csinal...

> De aki szeretne kiprobalni olyan dolgokat, amik (remelhetoleg) benne
> lesznek a kovetkezo verzioban, hogy el tudja donteni melyiket erdemes
> hasznalni (FreeBSD <-> Linux millio kis security patch-csel, amik egy uj
> kernelre nem alkalmazhatok, lasd medusa) az nezzen ra a -CURRENT-re.

Nezni nezhet, de szerintem ha most probalja ki, nem biztos, hogy a FreeBSD
mellett dont majd... es egyebkent se ertem, hogy mi koze van annak, hogy a
Linuxra sok patch van (amit BTW egyesek itt is elegge zajosan hianyoltak
anno, meg emlexem, hogy miert nincsenek itt is hardening scriptek meg Solar
Designer patchek meg minden....) ahhoz, hogy a 5.0 meg talan ha ALPHA
minosegu? Nem errol kell megitelni, majd jojjenek akkor, mikor teszteloket
keresnek a -BETA-hoz es az -RC-khez. De akkor bezzeg lasszoval se lehet
embert fogni mig a CD-k meg nem jelennek. 

> Ha bugreportokat is kuld akkor meg kulonsen hasznos.

Ez igaz. Az olyanok szerintem is jojjenek batran.

> Dehogynem. A -CURRENT-ben benne van mar az UFS snapshot funkcioja. Ha a
> buildworld elcseszi a cuccot csak visszateszed a regit =]

Tudsz gyorsan idesnapshotolni egy SCSI streamert, ha mar itt tartunk? Akkor
mar en is lazabb lennek...:-)
 
> Pedig sokan olvassak azt is, csak read-only modban :)

Most mar. Mikor meg en fenn voltam, elegge egyedul ereztem magam...
legalabbis itt a listan mindig ugy tunt, hogy baromi ujat mondok, ha onnan
ideztem...

> En kettot szemelyesen is ismerek.
> Az elejet bevallom untam. :)

A levelemnek vagy az X forditasnak?:-)

Na jo eltunok...

Udv:
Sz.
-- 
-------------------------------------------------------------------------------
* Adam Szilveszter * JATE Szeged * email: sziszi at petra.hos.u-szeged.hu *
* Honlap : nincs * alternativ email: sziszi at bsd.hu *
* PGP kulcs: Fingereld a sziszi at petra.hos.u-szeged.hu cimet! *
* FreeBSD: tisztabb, szarazabb, biztonsagosabb erzes...! *            



További információk a(z) BSD levelezőlistáról