Je souhaite utiliser chroot pour des raisons de sécurité et j'essaye
donc d'expérimenter cette commande. Cependant je me rends compte que
cette commande n'est pas très documentée et j'aimerais avoir quelques
éclaircissement :
1) Tout d'abord j'ai voulu mettre dans la 'prison' qu'un ls pour faire
un test. Impossible de le faire marcher sans mettre aussi un /bin/bash,
est-ce normal ?
2) Y a-t-il une différence fondamentale entre recopier dans la 'prison'
les exécutables avec les /lib/*.so correspondant ou vaut-il mieux
recompiler statiquement ?
3) Comme indiqué dans :
http://www.linuxsecurity.com/feature_stories/feature_story-99.html
Il est fondamental d'éliminer tout notion de 'root' dans la prison, mais
je ne vois pas bien comment lancer les programmes en tant qu'utilisateur
? car dès que je lance chroot il semble que je sois directement devenu
root dans l'environnement (UID 0)
J'ai essayé -sans succès- d'utiliser le programme setuidgid des
daemontools pour fixer l'UID du processus que je vais lancer mais
bizarrement même si j'importe dans la 'prison' /etc/passwd et
/etc/group, setuidgid persiste à me dire que l'utilisateur n'existe
pas... De plus le fait même d'avoir setuidgid dans la 'prison' me renvoi
à la case départ (désolé c'est à force de jouer au Monopoly...) car du
coup la notion de root peut revenir par la fenêtre (un attaquant peut
corrompre le setuidgid pour acquérir l'UID 0).
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Arnaud Gomes-do-Vale
Pham writes:
3) Comme indiqué dans : http://www.linuxsecurity.com/feature_stories/feature_story-99.html Il est fondamental d'éliminer tout notion de 'root' dans la prison, mais je ne vois pas bien comment lancer les programmes en tant qu'utilisateur ? car dès que je lance chroot il semble que je sois directement devenu root dans l'environnement (UID 0)
Pour ça, tu peux peut-être regarder plutôt du côté des serveurs virtuels, que tu peux voir comme des chroot améliorés où même root peut n'avoir que des droits très restreints. Regarde sur <http://www.linux-vserver.org/> pour plus de renseignements.
-- Arnaud Gomes-do-Vale -*-*-*- http://www.glou.org/~arnaud/ -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- En savoir plus sur GNU/Linux : http://www.linux-france.org/
Pham <pham@yahoo.fr> writes:
3) Comme indiqué dans :
http://www.linuxsecurity.com/feature_stories/feature_story-99.html
Il est fondamental d'éliminer tout notion de 'root' dans la prison, mais
je ne vois pas bien comment lancer les programmes en tant qu'utilisateur
? car dès que je lance chroot il semble que je sois directement devenu
root dans l'environnement (UID 0)
Pour ça, tu peux peut-être regarder plutôt du côté des serveurs
virtuels, que tu peux voir comme des chroot améliorés où même root
peut n'avoir que des droits très restreints. Regarde sur
<http://www.linux-vserver.org/> pour plus de renseignements.
--
Arnaud Gomes-do-Vale -*-*-*- arnaud@carrosse.frmug.org
http://www.glou.org/~arnaud/
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
En savoir plus sur GNU/Linux : http://www.linux-france.org/
3) Comme indiqué dans : http://www.linuxsecurity.com/feature_stories/feature_story-99.html Il est fondamental d'éliminer tout notion de 'root' dans la prison, mais je ne vois pas bien comment lancer les programmes en tant qu'utilisateur ? car dès que je lance chroot il semble que je sois directement devenu root dans l'environnement (UID 0)
Pour ça, tu peux peut-être regarder plutôt du côté des serveurs virtuels, que tu peux voir comme des chroot améliorés où même root peut n'avoir que des droits très restreints. Regarde sur <http://www.linux-vserver.org/> pour plus de renseignements.
-- Arnaud Gomes-do-Vale -*-*-*- http://www.glou.org/~arnaud/ -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- En savoir plus sur GNU/Linux : http://www.linux-france.org/
