Creare una "jail" con accesso root.

[federico]

Come posso fare per creare un sistema del genere? Dovrei creare una speci di jail e dare la possibilita' all'utente dentro questa jail di gestirsela come se fosse root.

Ho provato UML ma e' veramente incasinato e probabilmente eccessivo per quello che devo fare io.
Mi serve un ambiente dove un utente root di questo ambiente possa aggiungere utenti e avviare software.
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk

[randomaze]

[primero.gentoo]

A parte il discorso UML che potrebbe tornare molto utile nel caso tu abbia bisogno di avere un "sistema totale" nella tua jail ... dare i privilegi di root in un chroot non e' proprio il massimo perche' , a meno di altre precauzioni, stai lasciando la possibilita', a chiunque abbia acceso a google , di uscirne fuori.

Dai un'occhiata a GRSecurity se gia' non lo hai fatto, contiene una serie di restrizioni che ti toglieranno molte preoccupazioni, come il divieto di creare DEVICE con mknod nel chroot, montare partizioni e altre cosette sfruttate spesso per uscire fuori da una jail.

Puoi anche dare un'occhiata a altri due progettini. Il primo e' molto molto Maturo e si chiama LINUX-VSERVER ed ha , almeno nelle intenzioni , lo stesso scopo di UML, ti permette cioe' di creare sistemi totalmente virtuali ma con un approccio diverso gestendo i processi tramite "Contesti di Sicurezza" in modo da isolarli gli uni dagli altri.
L'ultimo e' molto giovane e non ho avuto ancora modo di provarlo , si chiama Linux Jail che dovrebbe essere simile al Jail di BSD ... ma non so dirti altro a riguardo

Io comunque rimarrei orientato verso UML, una volta capito il funzionamento non e' cosi complesso ed ha una flessibilita' che gli altri non mi hanno mostrato, probabilmente perche' non li ho utilizzati a fondo.
In piu' dalla versione 2.6.9 del Kernel dovrebbe essere implementato direttamente la versione guest , per quanto riguarda l'host hai ancora bisogno di applicare la SKAS patch , questo e' il link.

attento alle sbarre

ciauz
_________________
"Linux, the choice of a GNU generation"
==Micro$oft - just say NO==
(L#USER 353039)

[FonderiaDigitale]

quello che ti serve e' vserver, che e' esattamente una jail chroot che crea una 'macchina virtuale' indipendente dal sistema principale.
_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica

[federico]

Dunque, il problema di sicurezza so che esiste ma non e' diciamo problema mio, il personaggio che mi ha commissionato questo lavoro e' pianamente o quasi consapevole della cosa, ha pagato la macchina a meta' con un altro e vogliono dividersela cosi...

Ho provato UML con skas patch ma per aggiungere anche grsec e' stat abbastanza difficile e mi pare che abbia dato meno stabilita' al kernel perche' mi si e' gia' schiantato senza motivo apparente un paio di volte in un mese :°
Non ultimo e' veramente problematico assegnare ip alle macchine lavorando da remoto perche' puntualmente perdo la connettivita' diretta alla macchina mandando giu' le schede di rete...

La soluzione vserver mi pare a questo punto proprio quella che volevo e penso che sia quella di cui ho sentito parlare, sperando che non sia molto difficile mi metto alla ricerca subito.

Grazie siete preziosi come sempre
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk

[X-Drum]

dopo vari tentativi avevo emerso jail e creato il mio ambientino chrottato per gli utenti con solo il necessario era abbastanza sicuro (credo)
l'mportante è crearlo come si deve
_________________
"...There are two sort of lies, lies and benchmarks..."