года два уже апачи так работает под OpenBSD вместе с php и тд

А в чем глубокий смысл запихивания apache и php в chroot? Ведь по сути
приходится создавать внутри chrooted директории почти полный аналог
всей системы! К тому же очень сомнительна защита таким способом.
Apache запускается под рутом. Привилегии полностью не сбрасывает.
Поиграть с capability в BSD нельзя. Если будет найдена дырка в apache,
теоретически можно получить рута и пробить chroot... Где выигрыш?

Саныч, опенбсдшники уже неоднократно показали всему миру чего стоят.
Так что не нужно нам трендеть про распрекрасную спящую красавицу опенбсд, которую пользовали два раза за семь лет, а многократно в попу и минет типа не считается ;))

Дык что, товрисч Суныч, слабо ответить на вопрос о смысле такой
конфигурации apache+php? Новости постишь лишь потому, что там корень
*bsd* увидел?

да саныч не шарит, и к тому же идеологически нестойкий :))

В OpenBSD Apache запускается под юзером www из группы www.

В openbsd непривилегированному пользователю позволено открывать порты до 1024 ?

А вы, дядя, не знали, что после того, как привилегированный
порт открыт, дескриптор сокета получен, можно смело
сбрасывать рутовые привилегии?

> Привилегии полностью не сбрасывает

Где?

$ ps aux | grep httpd
www 31550 0.0 0.6 1004 1608 ?? Ss Tue11PM 0:04.68 httpd: parent [chroot /var/www] (httpd)
www 23527 0.0 0.4 1016 1052 ?? I Tue11PM 0:00.06 httpd: child (httpd)
www 14735 0.0 0.4 1016 1028 ?? I Tue11PM 0:00.06 httpd: child (httpd)
www 23587 0.0 0.4 1016 1028 ?? I Tue11PM 0:00.06 httpd: child (httpd)
www 18451 0.0 0.4 1016 1028 ?? I Tue11PM 0:00.06 httpd: child (httpd)
www 20703 0.0 0.4 1016 1024 ?? I Tue11PM 0:00.06 httpd: child (httpd)
www 31251 0.0 0.4 1016 1028 ?? I Tue11PM 0:00.05 httpd: child (httpd)
www 32115 0.0 0.4 1016 1032 ?? I Wed01AM 0:00.05 httpd: child (httpd)
$ uname -sr
OpenBSD 3.4

> Где ?
А при запуске под кем работаем ?
Такую красивую картинку ps aux | grep httpd без рута я тебе и под линуксом могу показать. Впрочем это квакер не в тему выпе, а не ты.

2anonymous (*) (12.02.2004 18:57:20)
Ну ты поэт !!! :-)

Медленно, но верно, народ начинает осознавать слово namespace :)

IMHO двигаемся к идеям plan9 с разных сторон :) с одной лишь разницей ... что там оно правильно сделано, а в BSD/UNIX(r)/Linux как обычно ... через выхлопную трубу ...

Jail does the same as chroot, but on top of what chroot does, jail restricts what a process can do.

So why chroot instead of jail? Jailing processes is actually a simple task.

Интересно, это какие задачи он считает "simple", а какие нет ?

> Где ?
>>А при запуске под кем работаем ?
>>Такую красивую картинку ps aux | grep httpd без рута я тебе и под >>линуксом могу показать.

В смысле? Вы не знаете, что означают ключи -a и -x у ps?
Про sudo, надеюсь, слышали?

$ sudo ps aux | grep httpd
www 31550 0.0 0.6 1004 1608 ?? Ss Tue11PM 0:05.78 httpd: parent [chroot /var/www] (httpd)
www 20703 0.0 0.4 1016 1024 ?? I Tue11PM 0:00.07 httpd: child (httpd)
www 23527 0.0 0.4 1016 1052 ?? I Tue11PM 0:00.07 httpd: child (httpd)
www 14735 0.0 0.4 1016 1028 ?? I Tue11PM 0:00.07 httpd: child (httpd)
www 23587 0.0 0.4 1016 1028 ?? I Tue11PM 0:00.07 httpd: child (httpd)
www 18451 0.0 0.4 1016 1028 ?? I Tue11PM 0:00.07 httpd: child (httpd)
www 31251 0.0 0.4 1016 1032 ?? I Tue11PM 0:00.06 httpd: child (httpd)
www 32115 0.0 0.4 1016 1032 ?? I Wed01AM 0:00.06 httpd: child (httpd)
$ sudo whoami
root

chrooted Apache на OpenBSD.

А что я не так сказал?

In the case of httpd(8), the program starts, opens its log files, binds to its TCP ports (though, it doesn't accept data yet), and reads its configuration. Next, it locks itself into /var/www and drops privileges, then starts to accept requests.

Из http://www.openbsd.org/faq/faq10.html#httpdchroot

А на www.securitylab.ru в разделе аналитика написано все тоже самое и на русском. и работает именно под FreeBSD. Глубокий смысл засовывания Apche в chroot вижу только когда несколько сотен виртуальных хостов.

Хотя задумка интерессная

Задумка интересная, но глубокий смысл не раскрывает.
Ладно, а как будет работать suexec (мне он нужен обязательно)?
Далее интересный момент с php. На платном хостинге php должен быть
собран с макcимальным количеством фич. То есть к нему нужна туева хуча
динамических библиотек. Если все как надо сделать, то внутри chroot
будет баальшая, практически полноценная система.

Дык вот, я опять спрашиваю, в чем глубокий смысл? Если машина работает
только как веб-сервер и хостит сотни виртуальных доменов, то не проще
ли оставить все как есть, и не изобретать велосипед второго уровня?
Кто-нибудь может назвать реальные живые преимущества chroot в такой
конфигурации, которые стОили бы лишних телодвижений по созданию chrooted
environment?

А я вот не вижу смысла чрутить, если есть jail.

//Losiki

2KBAKEP Сказал ты все так , да только причем тут OpenBSD ? это и на Линуксе на раз-два делается.

Я отвечал на 2-е сообщение, вверху.

Да е... на в р...т кто - нить скажет что лучче chroot или jail или так все и будут мозги е..ь ????

Блин,пацаны!!! Я какой раз хочу найти ответ здесь, но похоже, не судьба, а ЖОПА. Ну скока можно??? Ну, блин, сдалайте MODERATED доступ для нормальних людей, блин! Я бы хотел зарегистится, но на кой? Опять читать эту хню????? Бл...ин!!! Ну есть же тут профессионалы, ну в чем дело??? Надо сайт сделать? Давай замутим на MDRPO (www.maxdev.com) я там девелопер, ну зае.....ело это вссе!!!!

Ну так сделай, в чем проблема?