[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Aprile 2001 ml@sikurezza.org Soggetto: Re: servizi chrootati Mittente: THeFLy Data: 23 Apr 2001 23:21:46 -0000
ringrazio per le celeri risposte, cmq come tu dici il chroot non da la sicurezza estrema, ma l'aumenta sicuramente. Del resto quale soluzione da la certezza della sicurezza? sbaglio o hai qualche altro consiglio? grazie On Monday 23 April 2001 19:07, you wrote: > On Mon, Apr 23, 2001 at 12:14:12AM +0200, THeFLy wrote: > > Salve, prima di tutto saluto tutti, che mi sono appena inscritto alla > > list. Volevo porvi subito una domanda: dove posso trovare documentazione > > per chrootare proftpd, postfix, opensshd e apache? Se puņ servire io uso > > Debian (chesso magari c'č doc o qualche pacchetto particolare). > > Nel chrootare un processo ed eventualmente cambiarne l'uid, bisogna > ricreare nella nuova root un ambiente che permetta al programma ingabbiato > di lavorare tranquillamente. > Si devono copiare le shared libraries, device quali /dev/null o > /dev/urandom o quant'altro nella nuova root, fare attenzione ai file di > configurazione considerando che i path sono relativi al chroot . > > postfix ti permette gia' da installazione ( INSTALL.sh ) di fare viaggiare > il piu' dei demoni chrootati mettendo le apposite direttive in > /etc/postfix/main.cf il tutto viene gestito dal "master", ma e' necessario > comunque modificare qualcosina qua e la' e nella distribuzione dei sorgenti > c'e' documentazione su come chrootarlo. > > proftpd permette di suo il chroot degli utenti nelle proprie homedirectory, > ma se lo devi usare come semplice distro di software usa il sano troll-ftpd > e lo chrooti con il semplice comando chroot(1) . > > Per apache idem, basta un tocco del comando chroot e copiare qualche shared > libraries e tutto e' chrootato. > > Per OpenSSH c'e' nella mlist una robba che postai io, ma mi pare che da > file di configurazione ha la possibilita' di chrootare gli utenti... > > Consiglio di utilizzare chrootuid del buon venema ( che ha come nome > vietse, lo stesso di uno dei miei 2 criceti ) che ti permette di > specificare anche l'uid con cui far girare il processo. > > Cmq come considerazione finale ricordiamoci che i problemi di sicurezza non > si risolvono chrootando i processi, in quanto esistono possibilita' di > uscire dal chroot in certe condizioni e che da questo diavolo di sistema > DAC di unix si spera che verra' messo tutto in MAC e buonanotte, addio > root, addio problemi. > > > grazie > > > > thefly > > > > ________________________________________________________ > > http://www.sikurezza.org - Italian Security Mailing List ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005