[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Aprile 2001 ml@sikurezza.org Soggetto: Re: servizi chrootati Mittente: Fabio Pietrosanti (naif) Data: 23 Apr 2001 20:01:53 -0000
On Mon, Apr 23, 2001 at 12:14:12AM +0200, THeFLy wrote: > Salve, prima di tutto saluto tutti, che mi sono appena inscritto alla list. > Volevo porvi subito una domanda: dove posso trovare documentazione per > chrootare proftpd, postfix, opensshd e apache? Se puņ servire io uso Debian > (chesso magari c'č doc o qualche pacchetto particolare). Nel chrootare un processo ed eventualmente cambiarne l'uid, bisogna ricreare nella nuova root un ambiente che permetta al programma ingabbiato di lavorare tranquillamente. Si devono copiare le shared libraries, device quali /dev/null o /dev/urandom o quant'altro nella nuova root, fare attenzione ai file di configurazione considerando che i path sono relativi al chroot . postfix ti permette gia' da installazione ( INSTALL.sh ) di fare viaggiare il piu' dei demoni chrootati mettendo le apposite direttive in /etc/postfix/main.cf il tutto viene gestito dal "master", ma e' necessario comunque modificare qualcosina qua e la' e nella distribuzione dei sorgenti c'e' documentazione su come chrootarlo. proftpd permette di suo il chroot degli utenti nelle proprie homedirectory, ma se lo devi usare come semplice distro di software usa il sano troll-ftpd e lo chrooti con il semplice comando chroot(1) . Per apache idem, basta un tocco del comando chroot e copiare qualche shared libraries e tutto e' chrootato. Per OpenSSH c'e' nella mlist una robba che postai io, ma mi pare che da file di configurazione ha la possibilita' di chrootare gli utenti... Consiglio di utilizzare chrootuid del buon venema ( che ha come nome vietse, lo stesso di uno dei miei 2 criceti ) che ti permette di specificare anche l'uid con cui far girare il processo. Cmq come considerazione finale ricordiamoci che i problemi di sicurezza non si risolvono chrootando i processi, in quanto esistono possibilita' di uscire dal chroot in certe condizioni e che da questo diavolo di sistema DAC di unix si spera che verra' messo tutto in MAC e buonanotte, addio root, addio problemi. > > grazie > > thefly > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List -- Fabio Pietrosanti ( naif ) LIVE Network Security srl Via Mascheroni 31 I-20145 Milano +39.02.485347.1 +39.02.48534729 ( Direct ) +39.02.48534742 ( Fax ) PGP Key (DSS) http://naif.itapac.net/naif.asc -- Free advertising: www.openbsd.org Multiplatform Ultra-secure OS ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005