HqHost отзывы ?

1. Да, безопасность того что снаружи. И понятно что безопасность клиентских
данных должна обеспечиваться отдельно. Но безопасность того, что снаружи тоже
имеет смысл. Хотя бы, чтобы оперативно получить доступ к системе, а не
перезагружать ее в rescue image в случае взлома внутри chroot-а.

2. Если апгрейдится и диск (что бывает часто), то нужно копировать данные.
И копировать директорию проще, чем клонировать диск 1:1. И не вижу чем
варинт с переносом chroot окружения принципиально хуже клонирования дисков.

3. Достоинства все-таки есть, хоть и небольшие. Но и неудобства тоже
минимальны. Настроить df внтури chroot-а не сложно. HOWTO не читали,
с grsecurity работаем давно, использовали в разных конфигурациях.

4. Да, способов выйти из chroot окружения достаточно. Я не знаю про какой
сервер вы пишите (если не сложна укажите Ваш логин в нашей системе), возможно там временно ослабляли ограничения grsecurity
на chroot для каких-то целей, можно попробовать работу эксплоита с полностью
включенными ограничениями.

Насколько я понимаю если юид 0 то выйти из под чего угодно можно.
chroot - это от случайного удаления корня. По крайней мере хоть удалённо можно будет зайти и перезалить всё.

Tornado писал:

1. Да, безопасность того что снаружи. И понятно что безопасность клиентских данных должна обеспечиваться отдельно. Но безопасность того, что снаружи тоже имеет смысл. Хотя бы, чтобы оперативно получить доступ к системе, а не перезагружать ее в rescue image в случае взлома внутри chroot-а.

Ага. И вы вот так вот оставите как есть взломанную систему, будучи уверены, что никуда хакер из chroot не вышел...
Браво.

Если систему взломали, то это означает полную переустановку всего, до голого железа. Точка. Иначе это просто херня полная.

Tornado писал:

2. Если апгрейдится и диск (что бывает часто), то нужно копировать данные. И копировать директорию проще, чем клонировать диск 1:1.

на линухе копирование диска делается через cp -a /oldroot /newroot
потом chroot /newroot /bin/bash

grub

все
...ладно, это даже скучно.

Tornado писал:

возможно там временно ослабляли ограничения grsecurity

no comments...

> Ага. И вы вот так вот оставите как есть взломанную систему, будучи уверены,
> что никуда хакер из chroot не вышел...
> Браво.
Зачем сразу такие категорические предположения? Естественно мы будем выяснять что произошло с системой в результате взлома.

> Если систему взломали, то это означает полную переустановку всего, до голого
> железа. Точка. Иначе это просто херня полная.
Для начала нужно разобраться куда именно получили доступ взомщики. Или если украли трояном пароль от FTP аккаунта тоже нужно переставлять все?

> на линухе копирование диска делается через cp -a /oldroot /newroot
> потом chroot /newroot /bin/bash
> grub
Это с физическим движением дисков. Когда проще и быстрее обойтись без него и скопировать удаленно. Про rsync нам известно, на всякий случай.

> no comments...
Мы нигде не говорили что chroot это идеальная защита, обеспечивающая
полную безопасность. Мы ни в коем случае не рассчитываем на непробиваемость этого решения. Основая идея - это именно удобство администрирования для нас, при перемещении системы между физическими серверами. А защита - это просто еще один уровень безопасности, который не мешает, но когда-то может и помочь.

и вообще по техническим вопросам организации работы можно спорить много и долго и у каждого будет своя правда.

Tornado писал:

Система действительно chrooted, плюс chroot усилен при помощи grsecurity.

Можете в двух словах объяснить что именно дает этот grsecurity ?

dlk44 писал:

Можете в двух словах объяснить что именно дает этот grsecurity ?

тому, кто даже гуглом не в состоянии воспользоваться - ничего

Dr.Syshalt: там главная проблема не гугл а голова

grsecurity никому ничего не даёт. Разве что для самоуспокоения.

Оно дает, просто надо понимать, для чего, как и когда. Если бы ребята не занимались ерундой, то могли бы отключить chroot внутри chroot и я бы не вылез наружу так легко ;) Но они не могут этого сделать - потому как внутри chroot должны запускаться такие штуки, как bind - а ему самому chroot нужен (ну или надо быть совсем плохим на голову, чтобы его без chroot запускать, слава богу не додумались). Любой ftp-сервер тоже chroot'ит клиентов, как правило. Вот как раз для того, чтобы заchroot'ить приложения отдельные - вот для этого grsecurity как раз очень хорошо подходит - чтобы влом ftp-сервера не приводил к тому, что отымели всю систему. Но для того, чтобы jail'ить VPSы (ну или как в этом случае - клиентские системы, организованные подобным образом) - он не подходит. Почему я так и прицепился, что никакой дополнительной безопасности это не дает. Напротив, побочные эффекты (к примеру, одна файловая система на клиента, а не разбитая, как полагается, на /var /tmp и пр) как раз напротив - ухудшает и безопасность, и производительность. Сделали это явно для армейского единообразия - и дедики, и VPSы все одинаково устроены, проще перетаскивать и т.д. - а вовсе не из какой-то заботы о клиенте.

в hqhost что, есть vps?

Dr.Syshalt писал:

тому, кто даже гуглом не в состоянии воспользоваться - ничего

Одно дело Гугл, а совсем длугое - отзыв человека с заранее известным уровнем квалификации.

Ничего не могу сказать хорошего или плохого об этом хостинге и об их ценах, но саппорт очень странный.

AlbertShv, и нафига ты такой пыльный топик поднял? Чтобы рассказать про странный саппорт?