Sziasztok!
Van egy szerverünk, ahol a userek szabadon adhatnak hozzá cron-okat, annyi megkötéssel, hogy csak PHP scripteket tudnak futtatni.
A kérdésem az lenne, hogy meg lehet-e oldani valahogy, hogy ezeket a folyamatokat bechroot-oljuk valahogy?
Előre is köszi minden segítséget!
- 3929 megtekintés
Hozzászólások
Ha van egy jó chroot környezeted (saját dev-vel és proc-cal)m akkor azt teszel be alá, amit akarsz. Ezesetben az apahe és a cron démon menjen be.
Megnézed a library-kat amit használ, azt próba.
- A hozzászóláshoz be kell jelentkezni
A pam_chroot lesz itt a megoldás. Így a cron daemon kint futhat, de a userek folyamatai be lesznek chrootolva. Az magától értetődik, hogy a PHP binárisnak és a hozzá tartozó libeknek a chrooton belül létezniük kell.
- A hozzászóláshoz be kell jelentkezni
azért a chroot-on kívül lévő cuccok mindig gyanúsak
- A hozzászóláshoz be kell jelentkezni
Nyilván, csak ha jól sejtem, a kedves kérdező webhosting szolgáltatást üzemeltet és valahogy nem hiszem, hogy minden felhasználójára szeretne külön cron daemont futtatni. A PAM egészen jól meg van írva, szóval talán nem lesz belőle gáz. Ha meg a chroot az egyetlen védelmi vonal, akkor az amúgy is fail, minimum a jogosultságokat illik normálisan beállítani, de inkább valami RBAC-ot kellene telepíteni.
- A hozzászóláshoz be kell jelentkezni
Webhostingról van szó, így van.
Nem a chroot az egyetlen védelmi vonal, a userek csak ahhoz férnek hozzá, amihez feltétlenül muszáj, de valahogy nyugodtabbak lennénk, ha még be lennének zárva a saját kis környezetükbe egy chroot-al.
- A hozzászóláshoz be kell jelentkezni