chroot нужен ли?

0

2

Собственно на фоне вот этого создается впечатление, что чрут то ещё ведро.
Использует ли кто его? Как оно?
Сам думаю поместить в него некоторые сервисы на рабочей машине, потому и спрашиваю.

Ссылка

←	IPTABLES LOG

iptables, web server, debian

→

>на фоне вот этого
Повтори это на grsec-ядре.

x3al
(04.01.11 21:29:15 MSK)

Ответ на: комментарий от x3al 04.01.11 21:29:15 MSK

Как на счёт дефолтного Debian ядра?

kompas
(04.01.11 21:56:07 MSK) автор топика

Ссылка

Если сервисы понижают свои привилегии после chroot, сбежать таким образом они не смогут.

AITap
(04.01.11 21:58:05 MSK)

Ответ на: комментарий от AITap 04.01.11 21:58:05 MSK

Бывают уязвимости, с которыми теоретически можно получить рута. Поэтому и grsec.

x3al
(04.01.11 22:13:37 MSK)

Ссылка

Ты прям америку открыл. Естественно, из chroot'а можно выйти. В freebsd есть «продвинутый chroot» под названием jail, из него выйти нельзя.

Reset 🤡🤡
(04.01.11 22:19:40 MSK)

Ответ на: комментарий от Reset 04.01.11 22:19:40 MSK

Как выйти из chroot`a на ядре с патчами grsecurity?

kompas
(04.01.11 22:39:37 MSK) автор топика

Ответ на: комментарий от kompas 04.01.11 22:39:37 MSK

grsecurity нигде не используется, поэтому будем считать, что его нет

Reset 🤡🤡
(04.01.11 22:42:33 MSK)

После FreeBSD Jail всё кажется ведром ;)

~~freebsd-online~~
(05.01.11 17:18:34 MSK)

chmod нужен ли?

запирать рута в chroot - все равно что запирать в тюрьму зека с полным набором инструментов, т.е. смысла никакого.

~~Rost~~
(10.01.11 11:31:40 MSK)

Ссылка

Ставил все сетевые сервисы под chroot, в том числе sendmail.

При очередном эксплойте на всем извемстный BIND, не стал его апдейтить. Напрягся и начал чаще парсить логи. Через пару недель проатаковали, BIND упал без каких либо последствий.
С довольным лицом выслушал обеденные жалобы пользователей и проапдейтил BIND.

anonymous
(11.01.11 08:19:34 MSK)

Ссылка

Смотря ведь для чего использовать. Если просто отградить одно окружение от другого и нет опасности что кто-то будет пытаться джеибрейкнуть - то сойдет, иначе используй виртуализацию.

gescheit
(15.01.11 22:19:23 MSK)

Ссылка

Ответ на: комментарий от Reset 04.01.11 22:19:40 MSK

>под названием jail, из него выйти нельзя.
ну конечно

dimon555
(16.01.11 20:10:52 MSK)

Просто используй jail(8). Это сильно переработанный chroot(8).

iZEN
(16.01.11 20:22:24 MSK)

Ссылка

Ответ на: комментарий от dimon555 16.01.11 20:10:52 MSK

Проблема в том, что выход из chroot'а - фича, а гипотетический выход из jail - баг.

Reset 🤡🤡
(16.01.11 20:23:36 MSK)

Ссылка

Ответ на: комментарий от freebsd-online 05.01.11 17:18:34 MSK

в Линуксе есть аналог jail - называется OpenVZ

а напрямую сравнивать jail и chroot некорректно

anonymous
(16.01.11 20:24:26 MSK)

Ссылка

Ответ на: комментарий от Reset 04.01.11 22:42:33 MSK

> grsecurity нигде не используется, поэтому будем считать, что его нет
hardened gentoo

Nao
(19.01.11 10:21:46 MSK)

Ссылка

Просто chroot изначально не задумывался как средство для безопасного огораживания.
Про openvz уже выше сказали.

Nao
(19.01.11 10:25:54 MSK)

Ссылка

Whilst chroot() is reasonably secure, a program can escape from its trap. So long as a program is run with root (ie UID 0) privilages it can be used to break out of a chroot()ed area. For a user to do this, they would need access to:
* C compiler or a Perl interpreter * Security holes to gain root access

Ещё одна веская причина не держать демонов запущенными от рута. У меня это либо специфический демон (apache например) либо nobody.

Deleted
(20.01.11 03:10:43 MSK)