R: [ml] ambienti chroot

Se li chrootassi nella stessa directory ? 
Potresti chrootare entrambi i processi nella directory /servizi ad esempio ed utilizzare utenze diverse.

Sinceramente quando tu vai a chrootare un servizio vuoi proprio che questo "non parli" con gli altri in nessun modo, quindi
pretendere che un processo chrootato in A, interagisca con un processo chrootato in B, vuol dire collegare due sistemi indipendenti 
cosa che, oltre ad essere difficile da implementare e manutere, rischia di farti introdurre dei problemi (vedi symlink etc. etc.)


Io quindi ti consiglio di chrootare entrambi i processi nella stessa dir, almeno interagiscono "bene", poi
utilizzare qualche enforcement per la funzione chroot(), se usi linux grsecurity può darti una mano (www.grsecurity.net).
In altre accezioni, puoi sempre provare a chrootare i due processi nella stessa directory e attivando delle ACL hard direttamente sul file system,
vedi LIDS ed altri succedanei...

Certo in questo modo i due processi sono vulnerabili vicendevolmente, ma non sono in grado di compromettere tutto il sistema 
ed almeno li "controlli meglio".

la sicurezza è sempre un compromesso con la funzionalità no ? :-)




 


-----Messaggio originale-----
Da: ml-bounces@xxxxxxxxxxxxx [mailto:ml-bounces@xxxxxxxxxxxxx] Per conto di bimbo
Inviato: lunedì 21 febbraio 2005 20.24
A: ml@xxxxxxxxxxxxx
Oggetto: [ml] ambienti chroot

Salve,

Sto usando da qualche tempo apache come server web e vsftpd come server ftp,entrambi presenti sullo stesso sistema.
Apache (con mod_security) utilizza gli utenti di sistema e vsftpd utilizza la propria funzione interna per il chroot delle home degli utenti stessi.

Ritenete che sia essenziale creare un ambiente chroot per apache e/o vsftpd ?
Ho già tentato questa strada ma con non poche problematiche...in particolare per far accedere vsftpd alle dir degli utenti presenti nell'ambiente chroot di apache...


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List