|
|
Интересная штучка появилась в FreeBSD4.0-current.
Jail
называется. Можно, собственно, запустить процесс так, что он не увидит ничего, кроме того каталога,
который ему покажут пальчиком при запуске как "корневой", и при этом ему, процессу, будет
казаться, что он работает в настоящей системе, и тот корневой каталог, который он видит - действительно
корневой. И, скажем, получив рута в пределах jail'а можно смело делать rm -rf / - дальше самой "тюрьмы"
это не распространится. Народ прикалывался: "хочешь рута на моей машине? Бери :)". После чего
удовлетворенно наблюдал, как получивший "рута" ставил трояны, руткиты и прочую фигню...
в пределах одного чего-то, очень похожего на настоящую FreeBSD :-))
Disclaimer: FreeBSD 4.0 есть current-версия, и нормальным людям ее ставить не рекомендуется -
стабильность не того, не гарантируется. А в 3.4 jail, увы, нет. Впрочем,
для большинства это все равно игрушка, такая же как vmware. Хотя... можно, допустим,
на боевом сервере оставить пару действительно нужных сервисов (и убедиться в отсутствии дыр,
и следить за их появлением...), и поставить кучу неиспользуемых и потенциально дырявых
(ftp, pop3, smtp...) запущенных в jail. Пусть себе хакеры ломают, время теряют,
а потом соображают - чего-это они сломали-то :-) Да, в отличие от vmware, jail
дополнительных тормозов не вносит - поскольку не эмулятор.
| |
| |