| View previous topic :: View next topic |
| Author |
Message |
Tiro
l33t
Joined: 14 Feb 2003
Posts: 752
Location: italy
|
 Posted: Fri Apr 29, 2005 11:00 am Post subject: [security] livello di sicurezza chroot? |
 |
|
ciao a tutti,
mi chiedevo che livello di sicurezza ci sia in un ambiente chroot dove girano dei server. Nel mi caso specifico ssh e mldonkey. A breve anche apache2 . Il chroot NON è su una partizione separata bensì su /mnt/qualcosa all'interno della partizione principale.
Lo stage adoperato per questo chroot è uno stage3-hardened (privo di su, ps, modprobe, ecc...). All'occorrenza vengono montate /usr/portage, /dev e /proc con:
| Code: | | # mount -o bind /$DIR /mnt/hard/$DIR |
ecc...
Mldonkey è avviato da root e mi chiedevo quali problemi possano seguire nel caso in cui il server venga bucato. E' fattibile scalare sopra il chroot? o fare qualcosa di disastroso?? |
|
| Back to top |
|
 |
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Fri Apr 29, 2005 12:00 pm Post subject: Re: [security] livello di sicurezza chroot? |
|
|
di documenti, riguardo all'evasione da chroot, ce ne sono parecchi, e di certo ti forniranno informazioni migliori di quelle che potresti trovare in questo forum.
considera che, in generale, puoi aumentare la sicureza mediante aggeggi come GRSecurity o il solo PaX.
e soprattutto CONSIDERA CHE ESEGUIRE PROGRAMMI E SERVIZI CON PRIVILEGI DI ROOT È PERICOLOSISSIMO E SBAGLIATO |
|
| Back to top |
|
|
CLod
Apprentice
Joined: 23 Nov 2004
Posts: 280
|
| Posted: Fri Apr 29, 2005 12:08 pm Post subject: |
|
|
direi livelli non altissimi di sicurezza ma cmq un "qualcosa in +"
tieni conto che con un semplicissimo programma in C riesci ad uscire dalla jail
_________________
http://clod.gruppoimi.it -> my personal site
new zealand immigration...
Last edited by CLod on Tue May 03, 2005 2:28 pm; edited 1 time in total |
|
| Back to top |
|
|
shev
Bodhisattva
Joined: 03 Feb 2003
Posts: 4084
Location: Italy
|
| Posted: Fri Apr 29, 2005 12:42 pm Post subject: Re: [security] livello di sicurezza chroot? |
|
|
| Tiro wrote: | | Mldonkey è avviato da root e mi chiedevo quali problemi possano seguire nel caso in cui il server venga bucato. E' fattibile scalare sopra il chroot? o fare qualcosa di disastroso?? |
Considera che già un "man chroot" risponde esplicitamente alle tue domande: si, si.
_________________
Se per vivere ti dicono "siediti e stai zitto" tu alzati e muori combattendo |
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Fri Apr 29, 2005 12:47 pm Post subject: Re: [security] livello di sicurezza chroot? |
|
|
Il criterio da usare per chroot sarebbe quello di lasciare nella prigione solo i file essenziali per l'esecuzione dei demoni "imprigionati"... da quanto ho capito utilizzi uno stage vero e proprio (ovvero un'installazione pressoché completa) nella prigione di chroot.... in questo modo la prigione è "quasi" inutile...
Ti consiglio di creare prigioni che contengono solo le librerie utilizzate dai programmi imprigionati ed eventualmente i programmi che si appoggiano su di queste
inoltre MAI lanciare un demone di rete come root (a meno che non ti interessi un livello di sicurezza minimo)
per chrootare mldonkey ti consiglio questo tip
https://forums.gentoo.org/viewtopic-t-185310-highlight-chroot+mldonkey.html
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
Tiro
l33t
Joined: 14 Feb 2003
Posts: 752
Location: italy
|
| Posted: Fri Apr 29, 2005 2:30 pm Post subject: Re: [security] livello di sicurezza chroot? |
|
|
| k.gothmog wrote: | | e soprattutto CONSIDERA CHE ESEGUIRE PROGRAMMI E SERVIZI CON PRIVILEGI DI ROOT È PERICOLOSISSIMO E SBAGLIATO |
si lo so ma il problema è non sono riuscito a far girare il tutto da utente normale...ad ogni modo vedrò di recuperare... 
inoltre ho installato un vero e proprio stage per il fatto non sono riuscito a far funzionare jail seguendo l'howto e guide varie...e cmq...jail potrebbe essere una soluzione migliore di uno stage chrootato?? |
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Fri Apr 29, 2005 3:07 pm Post subject: |
|
|
per mldonkey e ssh puoi anche fare a mano con uno script simile a quello che ti ho segnalato...
P.S. a cosa serve mettere sshd in chroot? ssh serve per accedere al sistema dall'esterno... ti interessa accedere al sistema chrootato?
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
fabius
Guru
Joined: 29 Nov 2004
Posts: 525
|
| Posted: Fri Apr 29, 2005 4:28 pm Post subject: |
|
|
| Cazzantonio wrote: | | P.S. a cosa serve mettere sshd in chroot? ssh serve per accedere al sistema dall'esterno... ti interessa accedere al sistema chrootato? |
Forse ci sono altri utenti? |
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Fri Apr 29, 2005 4:42 pm Post subject: |
|
|
| fabius wrote: | | Cazzantonio wrote: | | P.S. a cosa serve mettere sshd in chroot? ssh serve per accedere al sistema dall'esterno... ti interessa accedere al sistema chrootato? |
Forse ci sono altri utenti? |
continuo a non capire.... chrooti gli utenti?
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
fabius
Guru
Joined: 29 Nov 2004
Posts: 525
|
| Posted: Fri Apr 29, 2005 4:51 pm Post subject: |
|
|
| Cazzantonio wrote: | | continuo a non capire.... chrooti gli utenti? |
Penso piuttosto all'opportunità di non far vedere parte del filesystem ad un utente |
|
| Back to top |
|
|
stefanonafets
l33t
Joined: 10 Feb 2003
Posts: 644
|
| Posted: Fri Apr 29, 2005 5:47 pm Post subject: |
|
|
Oppure un server ssh fuori dalla chroot che risponde solo alla 127.0.0.1 (penso che cmq non sia una cosa troppo utile, cmq certo non "pulita", imho) ...
_________________
registered Linux user number #411324
sed 's/ke/che/g'
<The Deployment Slave is initializing> |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Fri Apr 29, 2005 6:05 pm Post subject: |
|
|
| fabius wrote: | | Cazzantonio wrote: | | continuo a non capire.... chrooti gli utenti? |
Penso piuttosto all'opportunità di non far vedere parte del filesystem ad un utente |
mi sembra una inutile e macchinosa complicazione.
è più semplice fare delle ACL in cui revochi il bit di eseguibilità alle directories che vuoi per gli utenti che vuoi |
|
| Back to top |
|
|
Tiro
l33t
Joined: 14 Feb 2003
Posts: 752
Location: italy
|
| Posted: Mon May 02, 2005 10:01 am Post subject: |
|
|
| no, sshd mi serve semplicemente per riavviare il servizio da remoto in caso di problemi... |
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Mon May 02, 2005 12:57 pm Post subject: |
|
|
puoi riavviarlo anche se ti connetti fuori dal chroot 
Con lo script che ti ho postato puoi facilmente lanciare mldonkey in ambiente chroot semplicemente con un comando, per apache ci sono una quantità di howto a giro che hai solo l'imbarazzo della scelta
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
Tiro
l33t
Joined: 14 Feb 2003
Posts: 752
Location: italy
|
| Posted: Mon May 02, 2005 2:41 pm Post subject: |
|
|
| Quote: | | puoi riavviarlo anche se ti connetti fuori dal chroot |
ovviamente si...
quindi mi pare di capire che non vi piace molto uno stage chrootato...quindi è meglio un chroot specifico per ogni servizio a quanto posso intendere...
appena ho il computer tra le mani vedrò di far girare lo script indicato da cazzantonio... |
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Mon May 02, 2005 4:56 pm Post subject: |
|
|
| Tiro wrote: | | quindi mi pare di capire che non vi piace molto uno stage chrootato...quindi è meglio un chroot specifico per ogni servizio a quanto posso intendere... |
Anche perché chrotare le applicazioni serve per fare in modo che l'ambiente in cui girano abbia accesso al minimo delle applicazioni e/o librerie necessarie (per ridurre le possibilità di explioit)... e soprattutto sarebbe importante che all'interno della prigione non ci fosse una shell in modo da ridurre le possibilità di uscire dalla jail
P.S. per chrootare mldonkey ti consiglio di scaricare i binari compilati staticamente in modo che le librerie siano già tutte dentro il pacchetto che ti serve....
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Mon May 02, 2005 6:14 pm Post subject: Re: [security] livello di sicurezza chroot? |
|
|
ma... al di là di tutto...
come mai questa scelta di mettere in chroot il mondo intero?
per esperienza, guarda che non è mai una scelta felice. il server in chroot te lo devi fare te a mano, e ovviamente non si aggiorna con il sistema, e quando c'è da aggiornare ti garantisco che sono c@**i che spuntano dalla sedia, perché è molto facile che non funzioni più... e se hai più server in diverse chroot è anche peggio... inizi a ritrovarti in giro per il sistema versioni diverse della stessa libreria e non sai più a chi appartengono...
ci sono altre soluzioni, che garantiscono uguale sicurezza, ma che non rischiedono tutto quel lavoro. prova a farci un pensierino |
|
| Back to top |
|
|
Ic3M4n
Advocate
Joined: 02 Nov 2004
Posts: 3489
Location: Bergamo.
|
| Posted: Tue May 03, 2005 7:37 am Post subject: |
|
|
| Quote: | | ci sono altre soluzioni, che garantiscono uguale sicurezza, ma che non rischiedono tutto quel lavoro. prova a farci un pensierino |
@k.gothmog dato il discorso veramente interessante e lìmportanza del tema trattato, senza tralasciare la mia non vastissima esperienza... potresti dirmi a cosa ti riferisci con la frase quotata?
l'unica cosa che mi viene in mente è utilizzare UML. in questo modo puoi eseguire un kernel con privilegi di utente ed avere una maggiore sicurezza. |
|
| Back to top |
|
|
Tiro
l33t
Joined: 14 Feb 2003
Posts: 752
Location: italy
|
| Posted: Tue May 03, 2005 10:33 am Post subject: |
|
|
| meglio usare il pacchetto jail?? o ci sono altre soluzioni per il chroot che intendete voi?? |
|
| Back to top |
|
|
Ic3M4n
Advocate
Joined: 02 Nov 2004
Posts: 3489
Location: Bergamo.
|
| Posted: Tue May 03, 2005 10:39 am Post subject: |
|
|
dai un'occhiata a questo. http://www.gentoo.org/doc/it/uml.xml
in ogni caso si sta parlando molto di questa caratteristica di linux.
mi spiace ma non so dirti niente di approfondito perchè per pigrizia e per tempo non ho ancora avuto tempo/voglia di farlo. |
|
| Back to top |
|
|
Tiro
l33t
Joined: 14 Feb 2003
Posts: 752
Location: italy
|
| Posted: Tue May 03, 2005 10:58 am Post subject: |
|
|
| si ho già provato l'uml col kernel 2.6 ma non va una cippa...non finisce manco di compilare...ad ogni modo avevo provato jail ma non mi faceva chrootare...ad ogni modo appena avrò sotto mano il computer affronterò il problema in modo più legittimo |
|
| Back to top |
|
|
Ic3M4n
Advocate
Joined: 02 Nov 2004
Posts: 3489
Location: Bergamo.
|
| Posted: Tue May 03, 2005 11:30 am Post subject: |
|
|
| Quote: | | ...non finisce manco di compilare... |
beh. visto che ci sono tante persone che lo usano non potrebbe essere che sbagli qualcosa tu? |
|
| Back to top |
|
|
Tiro
l33t
Joined: 14 Feb 2003
Posts: 752
Location: italy
|
| Posted: Tue May 03, 2005 11:45 am Post subject: |
|
|
| Ic3M4n wrote: | | Quote: | | ...non finisce manco di compilare... |
beh. visto che ci sono tante persone che lo usano non potrebbe essere che sbagli qualcosa tu? |
probabilmente sbaglio qlcs io...ma queste altre persone usano uml con gentoo o con altre distro?? con che kernel?? |
|
| Back to top |
|
|
Ic3M4n
Advocate
Joined: 02 Nov 2004
Posts: 3489
Location: Bergamo.
|
| Posted: Tue May 03, 2005 11:48 am Post subject: |
|
|
non lo so non l'ho provato, come ho scritto poco sopra. almeno, non ancora. però se una cosa funziona in una distro non vedo il perchè non debba funzionare in un altra. alla fine dopotutto... sempre linux è.
in più non vedo perchè non debba funzionare con gentoo visto che siamo arrivati ad avere anche un how-to ufficiale in italiano.
va beh prometto che appena riesco gli do un'occhiata. a questo punto la storia inizia ad incuriosirmi. |
|
| Back to top |
|
|
Tiro
l33t
Joined: 14 Feb 2003
Posts: 752
Location: italy
|
| Posted: Tue May 03, 2005 2:25 pm Post subject: |
|
|
| mi riferisco al fatto che uml con gentoo devi necessariamente compilarlo, con altre distro installi i binari. Con il kernel 2.6 ho incontrato difficoltà nell'emergerlo. Probabilmente funziona meglio col kernel 2.4... |
|
| Back to top |
|
|
|
Forum italiano (Italian)
