Vlákno názorů k článku
Do ProFTPD byl propašován zákeřný kód od KapitánRUM - Tohle je obecně bolest všech produktů na kterých...

Tohle je obecně bolest všech produktů na kterých se podílí dobrovolníci(Linux i Widlo) a dá se tomu jen těžko zabránit. Myslím, že jediné řešení je koncepčně nový systém, kde vše pojede ,,ve vlastním (para)virtuali­zovaném prostředí" a programy spolu budou moci komunikovat jen na úrovni portů a proudů.

Abych to doplnil, myslím že i Linux se k tomu dobere.
Stačí pár větších průšvihů a lidi začnou přemýšlet jak ,,všechno" umístit do vlastního Jailu. Ke sdílení souborového systému (tím nemyslím uživatelská data) neexistuje jediný rozumný důvod. A až doba dozraje, určitě někoho napadne jakým způsobem ukládat uživatelská data, aby program měl přístup jen těm která skutečně potřebuje.

Možná dojde i na různé druhy balíčků.
Virtualizovaný balíček - například soubor .Vjail fungující na všech systémech bez ohledu na knihovny pod univerzálním strojem

Zdrojový balíček - sloužící k přeložení programu jen k vůli kompatibilitě s instrukční sadou daného systému, výsledkem kompilace bude jeden soubor .jail tj. spustitelný soubor obsahující zároveň adresářovou strukturu (něco jako JAR v JAVA)

Pro programy jako je MC by měl operační systém zajistit automatické mountování k vůli konfiguraci. Konfigurační soubory přesměrované pomocí simlinků z ETC dovnitř těchto balíčků.

Ostatně podobná řešení už existují.

Problém je, že "jail" není komplet vlastní adresářová struktura včetně binárky, knihoven a všeho ostatního. Systém načte binárku do paměti, loader se podívá na dynamické závislosti na knihovnách, slinkuje to s binárkou a pak až pustí program (po chrootu). Program pak "uvidí" novou adresářovou strukturu, která může být úplně prázdná, rootem počínaje, přesto mu to z hlediska běhu stačí, protože už je celý v paměti.
Pěkná věcička na to je "fakechroot", doporučuji nakouknout, je to LDPRELOAD hook pro chroot tak, aby mohl chrootovat i non-root uživatel. Nebudeme přece věřit chrootovacím technikám v samotných programech ;)

Jakýkoliv jail je takové drbání se levou nohou za pravým uchem.
Některým programům se v Jailu prostě nelíbí, mimo to dostat program do jailu je hodně otravná věc.

Obecně se domnívám, že problém je v celkové koncepci operačního systému tak jak ho chápeme dnes.

Jaký je rozdíl mezi správou Linuxového serveru a řízením jaderné elektrárny?
Odpověď: Pro správu Linuxového serveru si musíte pamatovat podstatě víc věcí :-D

Tím nechci útočit na Linux, jen se člověk často prostě drbe s ohromným množstvím blbostí, různých obezliček, různých koncepcí a člověka to začne štvát. Pak může jen závidět Homeru Simpsonovi práci u řídícího pultu v jaderné elekrárně.

Ale máte pravdu, jailování pod ne-root účtem je bezpečnější.
Přiznám se, že jailuju pod rootem, protože se s tím prostě nechci moc drbat.

Myslim, ze mnohem lepsi reseni je openVZ a podobne veci.