View previous topic :: View next topic |
Author |
Message |
federico Advocate
Joined: 18 Feb 2003 Posts: 3272 Location: Italy, Milano
|
Posted: Thu Nov 11, 2004 1:10 am Post subject: Creare una "jail" con accesso root. |
|
|
Come posso fare per creare un sistema del genere? Dovrei creare una speci di jail e dare la possibilita' all'utente dentro questa jail di gestirsela come se fosse root.
Ho provato UML ma e' veramente incasinato e probabilmente eccessivo per quello che devo fare io.
Mi serve un ambiente dove un utente root di questo ambiente possa aggiungere utenti e avviare software. _________________ Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk |
|
Back to top |
|
|
randomaze Bodhisattva
Joined: 21 Oct 2003 Posts: 9985
|
Posted: Thu Nov 11, 2004 8:27 am Post subject: Re: Creare una "jail" con accesso root. |
|
|
federico wrote: | Mi serve un ambiente dove un utente root di questo ambiente possa aggiungere utenti e avviare software. |
Credo che dare i diritti di root dentro una jail possa creare un pò di problemi di sicurezza.... comuqnue, questo utente "root" come si collegerebbe al sistema? _________________ Ciao da me! |
|
Back to top |
|
|
primero.gentoo Guru
Joined: 23 Dec 2003 Posts: 402
|
Posted: Thu Nov 11, 2004 9:44 am Post subject: |
|
|
A parte il discorso UML che potrebbe tornare molto utile nel caso tu abbia bisogno di avere un "sistema totale" nella tua jail ... dare i privilegi di root in un chroot non e' proprio il massimo perche' , a meno di altre precauzioni, stai lasciando la possibilita', a chiunque abbia acceso a google , di uscirne fuori.
Dai un'occhiata a GRSecurity se gia' non lo hai fatto, contiene una serie di restrizioni che ti toglieranno molte preoccupazioni, come il divieto di creare DEVICE con mknod nel chroot, montare partizioni e altre cosette sfruttate spesso per uscire fuori da una jail.
Puoi anche dare un'occhiata a altri due progettini. Il primo e' molto molto Maturo e si chiama LINUX-VSERVER ed ha , almeno nelle intenzioni , lo stesso scopo di UML, ti permette cioe' di creare sistemi totalmente virtuali ma con un approccio diverso gestendo i processi tramite "Contesti di Sicurezza" in modo da isolarli gli uni dagli altri.
L'ultimo e' molto giovane e non ho avuto ancora modo di provarlo , si chiama Linux Jail che dovrebbe essere simile al Jail di BSD ... ma non so dirti altro a riguardo
Io comunque rimarrei orientato verso UML, una volta capito il funzionamento non e' cosi complesso ed ha una flessibilita' che gli altri non mi hanno mostrato, probabilmente perche' non li ho utilizzati a fondo.
In piu' dalla versione 2.6.9 del Kernel dovrebbe essere implementato direttamente la versione guest , per quanto riguarda l'host hai ancora bisogno di applicare la SKAS patch , questo e' il link.
attento alle sbarre
ciauz _________________ "Linux, the choice of a GNU generation"
==Micro$oft - just say NO==
(L#USER 353039) |
|
Back to top |
|
|
FonderiaDigitale Veteran
Joined: 06 Nov 2003 Posts: 1710 Location: Rome, Italy
|
Posted: Thu Nov 11, 2004 9:57 am Post subject: |
|
|
quello che ti serve e' vserver, che e' esattamente una jail chroot che crea una 'macchina virtuale' indipendente dal sistema principale. _________________ Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica
|
|
Back to top |
|
|
federico Advocate
Joined: 18 Feb 2003 Posts: 3272 Location: Italy, Milano
|
Posted: Thu Nov 11, 2004 10:28 am Post subject: |
|
|
Dunque, il problema di sicurezza so che esiste ma non e' diciamo problema mio, il personaggio che mi ha commissionato questo lavoro e' pianamente o quasi consapevole della cosa, ha pagato la macchina a meta' con un altro e vogliono dividersela cosi...
Ho provato UML con skas patch ma per aggiungere anche grsec e' stat abbastanza difficile e mi pare che abbia dato meno stabilita' al kernel perche' mi si e' gia' schiantato senza motivo apparente un paio di volte in un mese :°
Non ultimo e' veramente problematico assegnare ip alle macchine lavorando da remoto perche' puntualmente perdo la connettivita' diretta alla macchina mandando giu' le schede di rete...
La soluzione vserver mi pare a questo punto proprio quella che volevo e penso che sia quella di cui ho sentito parlare, sperando che non sia molto difficile mi metto alla ricerca subito.
Grazie siete preziosi come sempre _________________ Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk |
|
Back to top |
|
|
X-Drum Advocate
Joined: 24 Aug 2003 Posts: 2517 Location: ('Modica','Trieste','Ferrara') Italy
|
Posted: Thu Nov 11, 2004 12:39 pm Post subject: |
|
|
dopo vari tentativi avevo emerso jail e creato il mio ambientino chrottato per gli utenti con solo il necessario era abbastanza sicuro (credo)
l'mportante è crearlo come si deve _________________ "...There are two sort of lies, lies and benchmarks..." |
|
Back to top |
|
|
|