> в чем собственно стоит польза зачрутенного сервиса?
Это же элементарно, Ватсон! Если сломают зачрутенный сервис, то получат доступ только к ограниченному окружению - до остальной части системы не доберутся. По крайней мере, придётся ещё один шаг делать - вылезать из чрута.
А я считал так, что если например к апачу приминяют какой-нибудь эксплойт на переполнение буфера и вызов определенной команды через него для получения шелла, то так как он находится в чруте, а следовательно у него в корне лежит только то, что ему надо, то вызов подобной шняги будет просто бесполезным.
> так как он находится в чруте, а следовательно у него в корне лежит только то, что ему надо, то вызов подобной шняги будет просто бесполезным.
Это если в чруте нет шелла. Однако, можно получить какую-нибудь другую рутовую прогу. Например, рутовый PHP, рутовый Perl и пр. :) Ну, а дальше - локальный взлом: выход из чрута.
Очень полезен если у тебя программа работает в chroot окружении без прав пользователя c правильными правами на корень chroot-а и само
окружение chroot. Выйти за пределы корня chroot-а не реально. А также
натворить что нибуть серьезное в окружении chroot. В худшем случае будет висеть что нибуть в виде демона и занимать процессорное время
на всякую ерунду, что очень быстро лечится.
Немного хуже если в окружении chroot работает прога под правми рута.
1 - она может выползти из chroot читая иноды дисков
2 - доступны все syscall - что не есть хорошо.
3 - она может многое творить внутри окружения chroot (отсюда вытекают первых два тяжких последствия).
Но для выползания из chroot окружения эксплойт должен быть
несколько увеличен в размерах, что не всегда реально ( это мое имхо
сам не хаккер и толком еще ничего не вскрывал)
При каком либо паче на ядре от перполнения буфера
chroot + пач - уже очень серьезная стена. Сам когда то проверял на
binde- когда мне надоело что его каждый кулц хакер кладет насмерть
просто обновил bind. Хотя тогда может еще небыло эксплойтов с
выходом из chroot. Бум ждать и ловить...
PS: а если поставить серьезную систему безопасности с ограниченим прав root - читать faq. Но это уже пахнет бооольшим гемороем... на маленькм сервере.
для apache, например, дело такое необходимо, дырки находят каждый месяц, реально зачрутить связку apache+php+mysql, плюс поставить libsafe для защиты от переполнения буфера, не забыть включить mod_security в апач и следить за логами. Взлом такого сервера будет слишком геморным и долгим, ну и еще сырцы apache подправить чтобы банер выдавал вместо 'Apache' любимое 'unknown' без номера версии ...