<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 25 April 2016 at 11:44,  <span dir="ltr"><<a href="mailto:jasonsu@mail-central.com" target="_blank">jasonsu@mail-central.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
<br></span><br>
I completely gave up on chroot'd ntpd because of the endless weirdness.  Finally just moved to openntpd as (1) it had safe privsep, (2) no chroot req'd, and (3) did the job I need.<br></blockquote><div><br></div><div>Privsep doesn't actually fix the same problem chroot does.   As I understand it, privsep reduces the attack surface for remote execution exploits by shuffling off privileged operations to a separate process, but if that process isn't chrooted and it has a remote code execution flaw then your entire system is opened up to attack.  Likewise, the unprivileged process still has access to your entire system, and may still be used to execute unprivileged code in the event of a remote execution vulnerability.  Combined with other flaws in the system, both can still lead to a privileged remote attack.   By contrast, chroot contains the results of a successful remote execution to the environment of that process, preventing a successful remote execution attack from touching the filesystem outside the chroot... which limits the possible damage to the exploited process.  Both things together are better than either one alone.</div><div><br></div></div></div></div>