https://www.opennet.ru/openforum/vsluhforumID3/37447.html Misha Volodko подготовил (http://www.opennet.ru/base/sec/ssh_chroot.txt.html) руководство по настройке OpenSSH для помещения пользователей в chroot окружение.<br><br>URL: http://www.opennet.ru/base/sec/ssh_chroot.txt.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=10802<br> https://www.opennet.ru/openforum/vsluhforumID3/37447.html#43 Sat, 26 May 2007 13:27:22 GMT &gt;Хе хе, у Таненбаума в его книге по сетям есть такое высказывание, <br>&gt;что на заре интернета, некоторые протоколы придумывались студентами-недоучками, но потом все <br>&gt;равно обрели свою популярность, так как сперва у них просто не <br>&gt;было альтернатив, а потом к ним просто привыкли. Я вот все <br>&gt;думаю - не FTP ли он имел ввиду? <br><br>И FTP тоже. Хотя, как по мне, так в последние лет восемь более актуальны врождённые дефекты того же SMTP (мы же все помним, что какое-то время в сетях с SMTP open relay был нормой вообще, и тому были причины).<br><br>Впрочем, к Танненбауму тоже много претензий по тому, что он, всё-таки, довольно поверхностно представляет себе суть причин успешности конкурирующих решений (в т. ч. причин популярности того или иного протокола). Ну неинтересны ему такие вещи, и он о них даже думать ленится. https://www.opennet.ru/openforum/vsluhforumID3/37447.html#42 Sat, 26 May 2007 12:00:50 GMT Хе хе, у Таненбаума в его книге по сетям есть такое высказывание, что на заре интернета, некоторые протоколы придумывались студентами-недоучками, но потом все равно обрели свою популярность, так как сперва у них просто не было альтернатив, а потом к ним просто привыкли. Я вот все думаю - не FTP ли он имел ввиду?<br><br> https://www.opennet.ru/openforum/vsluhforumID3/37447.html#41 Fri, 18 May 2007 11:57:03 GMT &gt;В классическом FTP на сервер пытались возложить функцию управления нагрузкой для эффективного <br>&gt;использования каналов и вычислительных ресурсов сервера. Отсюда и инициация от сервера. <br>&gt;Теперь это пробуют решать с помощью bittorent и т.п. . <br><br>на мой взгляд, не совсем верно. расскажите мне, пожалуйста, в каком из "классических" FTP-серверов это было реализовано? ;) в те годы, когда придумывали FTP, никто ни о той, ни о другой эффективности даже и не думал. если вы видели внутренности хотя бы одного из ftp-серверов хотя бы пятнадцатилетней давности, вы бы такое не говорили. =)<br><br>&gt;Разделение каналов на управляющий и данных тоже правильно. <br><br>это всё оправдание программисткой лени и нежелания менять криво работающие старые схемы на более корректные новые. но, если вы так настаиваете -- попробуйте рассказать, чем же именно выгодно такое разделение, особенно, в таком топорном и неграмотном виде, как это сделано в FTP? https://www.opennet.ru/openforum/vsluhforumID3/37447.html#40 Fri, 18 May 2007 09:10:08 GMT Скажите как, я хочу это знать... https://www.opennet.ru/openforum/vsluhforumID3/37447.html#39 Fri, 18 May 2007 08:54:18 GMT &gt;иллюзия безопасности если там рута давать или система дырявая. <br><br>Систему всегда нужно считать дырявой, ибо нет никакой гарантии, что админ узнает первым об очердной локальной дыре в ядре или работающей из-под рута программе. А дыры ой как часто появляются. Chroot с минимумом утилит сильно помогает, особенно если на машине крутятся разные сервисы. Упование на стандартные средства разделения привилегий и всякие gresecurity/openwall патчи, как раз и есть иллюзия безопасности. https://www.opennet.ru/openforum/vsluhforumID3/37447.html#38 Fri, 18 May 2007 08:21:29 GMT иллюзия безопасности если там рута давать или система дырявая. хотя с патчиками от grsec все выглядит намного лучше. а потребность такая есть и правами доступа решать намного сложнее. примерно по той же причине, почему всякие селинуксы и прочии rsbac внедряются с большим скрипом - гимороя много. я эту проблему частично закрыл виртуальными системами, но хочется еще простой и быстрый способ для ssh/scp/sftp. для ftp chroot есть давно и используется часто. https://www.opennet.ru/openforum/vsluhforumID3/37447.html#37 Fri, 18 May 2007 06:27:42 GMT &gt;FTP - вообще дегенеративный протокол, скажем не предназначен для работы через фаерволл.А <br>&gt;если к нему прикрутить SSL получится ужосн*х - мало того что <br>&gt;ублюдочный протокол, так еще и нестандартно нифига.И смысл всего этого? <br><br>В классическом FTP на сервер пытались возложить функцию управления нагрузкой для эффективного использования каналов и вычислительных ресурсов сервера. Отсюда и инициация от сервера. Теперь это пробуют решать с помощью bittorent и т.п. .<br><br>Разделение каналов на управляющий и данных тоже правильно.<br> https://www.opennet.ru/openforum/vsluhforumID3/37447.html#36 Fri, 18 May 2007 06:21:40 GMT а мне jail нравится =) https://www.opennet.ru/openforum/vsluhforumID3/37447.html#35 Fri, 18 May 2007 03:53:54 GMT &gt;"chroot - это серьёзное решение" <br>&gt;звучит так же смешно как и ваше <br>&gt;"chroot - это иллюзия безопасности" <br>&gt;необходимо добавить почему, но тут у нас у обоих пробел в образовании <br>&gt;наверно :-) <br><br>потому что большинство юных админов пихают в chroot все сервисы подряд, при этом не заботятся об остальных аспектах и пренебрегая изучением матчасти. основной довод - "даже если чуваг получит рута - ничево ни сделаит в чруте". а это глупость, ибо вполне возможно вырваться из chroot.