Pourriez vous m'expliquer en quoi l'utilisation de la commande jail est
préférable à chroot, ou plutôt qu'est que "jail" apporte de plus de point de
vue de la sécurité ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jean-Philippe Granchi
Didier wrote:
Pourriez vous m'expliquer en quoi l'utilisation de la commande jail est préférable à chroot, ou plutôt qu'est que "jail" apporte de plus de point de vue de la sécurité ?
Bonjour,
De la quete du UID 0 ...
Chroot pour lancer un programme sous une certaine arborescence, sans lui donner l'acces a l'exterieur de celle ci. Ca revient a lancer un programme dans un repertoire Root different de Root...
Jail sous FreeBSD pour authoriser un programme de s'executer avec des privileges de root, mais en ne lui donnant acces qu'a des ressources limitees. Jail est la methode pour limiter le chanmp d'action d'un compte de type super utilisateur ou comme de processus qui eux aussi on des droits variables. Ca revient a configurer des systemes au sein d'un systeme. (Jail c'est bien mais c'est pas forcement suffisant)
Pourriez vous m'expliquer en quoi l'utilisation de la commande jail est
préférable à chroot, ou plutôt qu'est que "jail" apporte de plus de point de
vue de la sécurité ?
Bonjour,
De la quete du UID 0 ...
Chroot pour lancer un programme sous une certaine arborescence, sans lui
donner l'acces a l'exterieur de celle ci. Ca revient a lancer un
programme dans un repertoire Root different de Root...
Jail sous FreeBSD pour authoriser un programme de s'executer avec des
privileges de root, mais en ne lui donnant acces qu'a des ressources
limitees. Jail est la methode pour limiter le chanmp d'action d'un
compte de type super utilisateur ou comme de processus qui eux aussi on
des droits variables. Ca revient a configurer des systemes au sein d'un
systeme. (Jail c'est bien mais c'est pas forcement suffisant)
Pourriez vous m'expliquer en quoi l'utilisation de la commande jail est préférable à chroot, ou plutôt qu'est que "jail" apporte de plus de point de vue de la sécurité ?
Bonjour,
De la quete du UID 0 ...
Chroot pour lancer un programme sous une certaine arborescence, sans lui donner l'acces a l'exterieur de celle ci. Ca revient a lancer un programme dans un repertoire Root different de Root...
Jail sous FreeBSD pour authoriser un programme de s'executer avec des privileges de root, mais en ne lui donnant acces qu'a des ressources limitees. Jail est la methode pour limiter le chanmp d'action d'un compte de type super utilisateur ou comme de processus qui eux aussi on des droits variables. Ca revient a configurer des systemes au sein d'un systeme. (Jail c'est bien mais c'est pas forcement suffisant)
Pourriez vous m'expliquer en quoi l'utilisation de la commande jail est préférable à chroot, ou plutôt qu'est que "jail" apporte de plus de point de vue de la sécurité ?
Merci
Didier
Il y a aussi la brève HSC par Yann Berthier, qui décrit le jail: http://www.hsc.fr/ressources/breves/jail.html.en
On 01 Jun 2004 14:44:07 GMT
"Didier" <jk152@caramail.com> wrote:
Bonjour,
Pourriez vous m'expliquer en quoi l'utilisation de la commande jail est
préférable à chroot, ou plutôt qu'est que "jail" apporte de plus de point
de
vue de la sécurité ?
Merci
Didier
Il y a aussi la brève HSC par Yann Berthier, qui décrit le jail:
http://www.hsc.fr/ressources/breves/jail.html.en
Pourriez vous m'expliquer en quoi l'utilisation de la commande jail est préférable à chroot, ou plutôt qu'est que "jail" apporte de plus de point de vue de la sécurité ?
Merci
Didier
Il y a aussi la brève HSC par Yann Berthier, qui décrit le jail: http://www.hsc.fr/ressources/breves/jail.html.en
Benjamin Pineau
Le 01 Jun 2004 14:44:07 GMT, Didier écrivais:
Bonjour,
Pourriez vous m'expliquer en quoi l'utilisation de la commande jail est préférable à chroot, ou plutôt qu'est que "jail" apporte de plus de point de vue de la sécurité ?
Jail permet un contrôle d'une grande granularité sur l'accès à certain sous-systèmes (en particulier, réseau et ipc) et règle certaines limitations de chroot (accès à la table des processus hors chroot, aux segments de mémoire partagés, droits sur tt les processus ayant la même uid que le processus chrooté etc.). Au point qu'on puisse déleguer le root à un utilisateur jailé proprement sans corrompre la sécurité du système hôte.
-- Benjamin Pineau
Le 01 Jun 2004 14:44:07 GMT,
Didier <jk152@caramail.com> écrivais:
Bonjour,
Pourriez vous m'expliquer en quoi l'utilisation de la commande jail est
préférable à chroot, ou plutôt qu'est que "jail" apporte de plus de point de
vue de la sécurité ?
Jail permet un contrôle d'une grande granularité sur l'accès à certain
sous-systèmes (en particulier, réseau et ipc) et règle certaines limitations
de chroot (accès à la table des processus hors chroot, aux segments de
mémoire partagés, droits sur tt les processus ayant la même uid que le
processus chrooté etc.). Au point qu'on puisse déleguer le root à un
utilisateur jailé proprement sans corrompre la sécurité du système hôte.
Pourriez vous m'expliquer en quoi l'utilisation de la commande jail est préférable à chroot, ou plutôt qu'est que "jail" apporte de plus de point de vue de la sécurité ?
Jail permet un contrôle d'une grande granularité sur l'accès à certain sous-systèmes (en particulier, réseau et ipc) et règle certaines limitations de chroot (accès à la table des processus hors chroot, aux segments de mémoire partagés, droits sur tt les processus ayant la même uid que le processus chrooté etc.). Au point qu'on puisse déleguer le root à un utilisateur jailé proprement sans corrompre la sécurité du système hôte.
-- Benjamin Pineau
Eric Razny
Didier wrote:
Pourriez vous m'expliquer en quoi l'utilisation de la commande jail est préférable à chroot, ou plutôt qu'est que "jail" apporte de plus de point de vue de la sécurité ?
Essentiellement elle permet d'imposer des restriction complémentaires à ce que peut faire le processus (signaux au sens large, communication interprocessus, impossibilite de faire un nouveau chroot ...).
Sur les linux il existe des patches du noyau (grsecurity, lids...) qui permettent aussi de contrôler beaucoup plus finement ce que peut faire un chrooté (pour lids je suppose, je ne l'utilise pas).
Dans les deux cas (jail BSD, linux patchés) le but du jeu est d'éviter que le gus en cage ne puisse mettre le souk ailleurs ou se barrer.
La man page de jail donne quelques précisions également il me semble.
Eric -- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Didier wrote:
Pourriez vous m'expliquer en quoi l'utilisation de la commande jail
est préférable à chroot, ou plutôt qu'est que "jail" apporte de plus
de point de vue de la sécurité ?
Essentiellement elle permet d'imposer des restriction complémentaires à ce
que peut faire le processus (signaux au sens large, communication
interprocessus, impossibilite de faire un nouveau chroot ...).
Sur les linux il existe des patches du noyau (grsecurity, lids...) qui
permettent aussi de contrôler beaucoup plus finement ce que peut faire un
chrooté (pour lids je suppose, je ne l'utilise pas).
Dans les deux cas (jail BSD, linux patchés) le but du jeu est d'éviter que
le gus en cage ne puisse mettre le souk ailleurs ou se barrer.
La man page de jail donne quelques précisions également il me semble.
Eric
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
Pourriez vous m'expliquer en quoi l'utilisation de la commande jail est préférable à chroot, ou plutôt qu'est que "jail" apporte de plus de point de vue de la sécurité ?
Essentiellement elle permet d'imposer des restriction complémentaires à ce que peut faire le processus (signaux au sens large, communication interprocessus, impossibilite de faire un nouveau chroot ...).
Sur les linux il existe des patches du noyau (grsecurity, lids...) qui permettent aussi de contrôler beaucoup plus finement ce que peut faire un chrooté (pour lids je suppose, je ne l'utilise pas).
Dans les deux cas (jail BSD, linux patchés) le but du jeu est d'éviter que le gus en cage ne puisse mettre le souk ailleurs ou se barrer.
La man page de jail donne quelques précisions également il me semble.
Eric -- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Arnaud Gomes-do-Vale
"Eric Razny" writes:
Sur les linux il existe des patches du noyau (grsecurity, lids...) qui permettent aussi de contrôler beaucoup plus finement ce que peut faire un chrooté (pour lids je suppose, je ne l'utilise pas).
Sous Linux, il existe surtout vserver qui fonctionne si j'ai bien compris comme le jail de BSD (je n'ai jamais utilisé jail).
-- Arnaud
"Eric Razny" <news_01@razny.net> writes:
Sur les linux il existe des patches du noyau (grsecurity, lids...) qui
permettent aussi de contrôler beaucoup plus finement ce que peut faire un
chrooté (pour lids je suppose, je ne l'utilise pas).
Sous Linux, il existe surtout vserver qui fonctionne si j'ai bien
compris comme le jail de BSD (je n'ai jamais utilisé jail).
Sur les linux il existe des patches du noyau (grsecurity, lids...) qui permettent aussi de contrôler beaucoup plus finement ce que peut faire un chrooté (pour lids je suppose, je ne l'utilise pas).
Sous Linux, il existe surtout vserver qui fonctionne si j'ai bien compris comme le jail de BSD (je n'ai jamais utilisé jail).
