[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: RIF: Privilege Separated OpenSSH
Mittente: Lombardo Dario
Data: 19 Mar 2002 17:38:06 -0000
Una curiosita': in che cosa questo tipo di approccio si discosta dalla
chroot jail?

	-----Messaggio originale----- 
	Da: David Coppa 
	Inviato: sab 16/03/2002 15.57 
	A: openbsd@sikurezza.org 
	Cc: 
	Oggetto: Privilege Separated OpenSSH
	
	

	Niels Provos "ha colpito ancora" con una versione speciale di
OpenSSH 3.1 che
	integra una separazione completa dei privilegi. In pratica, il
processo padre
	e' l'unico che ha i privilegi di root e controlla l'andamento
dei processi
	figli unprivileged. Questa tecnica rende molto difficili se non
impossibili i
	vari attacchi tipo crc compensation o channel bug.
	
	Io l'ho installato e non mi ha dato alcun problema... Un esempio
e' meglio di
	mille chiacchiere:
	
	 (coffeec@caff:~)$ ssh coffeec@caff
	otp-md5 82 caff91314
	S/Key Password:
	Last login: Sat Mar 16 15:35:35 2002 from caff
	 (coffeec@caff:~)$ ps auwx | grep -v grep | grep sshd
	root      4307  0.0  1.1   348   360 ??  Ss     3:07PM
0:00.06 sshd -4 -p 22
	root      2653  0.0  4.1   432  1320 ??  S      3:36PM
0:00.24 sshd: coffeec [priv] (sshd)
	coffeec  27849  0.0  4.2   436  1336 ??  S      3:37PM
0:00.04 sshd: coffeec@ttyp8 (sshd)
	 (coffeec@caff:~)$
	
	Un paio di note:
	
	* Se usate OpenBSD 2.9 (come me) dovete applicare a mano la
patch di
	  backward compatibility
	
	* Prima di lanciare il demone, create la directory /var/empty
(la usa per
	  chrootare)
	
	L'url e': http://www.citi.umich.edu/u/provos/ssh/privsep.html
	
	Per ora il codice e' solo per la versione OpenBSD di openssh, ma
dice Provos
	che verra' presto integrato anche nella versione portable.
	
	Bye
	
	--
	David "caff" Coppa <caff AT openbeer DOT it>
	Fingerprint: 2EF5 C87B 96EF 555F 79CB  31B0 3D44 1DEC B285 16AD
	PubKey: http://www.openbeer.it/keys/caff.asc
	
	________________________________________________________
	http://www.sikurezza.org - Italian Security Mailing List
	
	




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005