On Thu, Jul 21, 2005 at 04:34:48PM +0400, Michael Kulakov wrote:
> это конечно не аргумент ( можно сналача bind(), потом setuid(), более того,
> если я правильно и делается с droproot ), но если отбросить демагогию, то,
> скажите, какая разница в том, что хакнут - root или uid, под которым бежит
> cgp ? И в том и в другом случае есть много интересного, что можно сделать.
Параноики запускают сервер в chroot-е/jail-е/zone-е на отдельной FS и не с uid=0, а нужные порты форвардят, куда надо. Хоть CGP, хоть Postfix с Qmail-ом :-)))) На код сервера в этом вопросе доверяться нельзя, т.к. он может делать seteuid() (например, когда жмёшь DropRoot в WebAdmin, а не запускаешь CGServer с ключиком --DropRoot :-)). А товарищ просто доументацию не читает - это же только на коммерческий софт её читать надо, а в opensource всё "из коробки" само ставится! Или в сорсах смотрится. :-))
ANDY Получено Thu Jul 21 12:46:06 2005
Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:13:58 MSK