chroot Umgebung - mini HowTo

[sascha]

Bitte zahlreiche Kommentare & Verbesserungen ;-)

Source downloaden und kompillieren:
# cd /usr/local/src
# wget http://www.gsyc.inf.uc3m.es/~assman/dow ... 1.9.tar.gz
# tar xzf jail_1.9.tar.gz
# cd jail_1-9_stable/src
# make
# make install


chroot Umgebung erstellen:
# /usr/local/bin/mkjailenv /var/chroot
# /usr/local/bin/addjailsw /var/chroot


Neuen Systembenutzer anlegen:
#/root/confixx/confixx_useradd.pl -h /var/chroot -p Passwort (verschlüsselt) -g users -s /usr/local/bin/jail chrootuser1


Systembenutzer in der chroot Umgebung hinzufügen:
#/usr/local/bin/addjailuser /var/chroot /home/chrootuser1 /bin/bash chrootuser1


Zusätzliche Programme in der chroot Umgebung zur Verfügung stellen:

# /usr/local/bin/addjailsw /var/chroot -P <programmname>

[v00dy]

/usr/local/bin/addjailsw /var/chroot -P bash
fehlt dort noch.. :)


ich habe früher schonmal jail getestet, was ich aber nie hinbekommen habe ist, das die jail user kompilieren können. hab verschiedene libs, gcc & make mit eingebunden aber es hat nie geklappt.
wenn einer weiss wie es geht soll er sich bitte mal melden. :)


cu

[majortermi]

ich habe früher schonmal jail getestet, was ich aber nie hinbekommen habe ist, das die jail user kompilieren können. hab verschiedene libs, gcc & make mit eingebunden aber es hat nie geklappt.
wenn einer weiss wie es geht soll er sich bitte mal melden. :)

Du musst den GCC im und die Glibc in der Chroot-Umgebung kompilieren.
Wie das geht, erfährst du unter http://www.linuxfromscratch.org/ - diese Anletiung ist eigentlich für die Kompilierung eines komplett neuen Linux-Systems gedacht, mit ein paar Anpassungen lässt sie sich aber auch sehr gut für ein Jail verwenden.

[floschi]

Hat bei mir grad wunderbar gefunzzt ;) (chroot User anlegen)

[nn4l]

Ist das wirklich eine gute Idee, erst ein chroot jail zu machen und dann dort den gcc zu installieren? Die chroot Funktion ist eigentlich nicht als Security Feature entwickelt worden, auch wenn sie häufig so eingesetzt wird.

• * Der neue Apache Worm (siehe Security Forum) kann nur aktiv werden, wenn er den gcc hat.
  
  * Es soll Möglichkeiten geben, ein C Programm zu schreiben, das seine chroot Umgebung verlassen kann. Ich kenne aber keine Details.

Ich habe für meinen Apache ebenfalls ein chroot jail eingerichtet, da gibt es aber nur die Apache executables und sonst gar nichts. Meine User haben auch keinen login.

Hier die Anleitung, nach der ich vorgegangen bin (Google-Cache, die Original Website scheint down zu sein):

http://216.239.39.100/search?q=cache:21 ... n&ie=UTF-8

[majortermi]

Es soll Möglichkeiten geben, ein C Programm zu schreiben, das seine chroot Umgebung verlassen kann. Ich kenne aber keine Details.

Also ich kenne keine Methode aus einer chroot-Umgebung auszubrechen (davon ausgegangen, dass alle Programme, die nicht im chroot laufen, korrekt programmiert sind).

Ã?berleg dir mal folgendes: Wenn es möglich ist ein solches Programm zu schreiben, dann kann ich es auch zu Hause kompilieren und die Binär-Datei hochladen.

[mirza]

[Also ich kenne keine Methode aus einer chroot-Umgebung auszubrechen (davon ausgegangen, dass alle Programme, die nicht im chroot laufen, korrekt programmiert sind).

Ã?berleg dir mal folgendes: Wenn es möglich ist ein solches Programm zu schreiben, dann kann ich es auch zu Hause kompilieren und die Binär-Datei hochladen.

Es gibt definitiv unter Linux die Möglichkeit, mit einem 10-Zeiler in C aus einer chroot-Umgebung auszubrechen. Um dies abzuschalten, ist ein Linux-Kernel-Patch notwendig, der Teil des GRSecurity-Kernel-Patches (http://www.grsecurity.org/) ist.

Die von mir gepostete chroot-Umgebung für ssh läuft nicht mit einigen Optionen des grsecurity-Patches.

Achja, User-Partitionen sollten eigentlich mit nodev, nosuid und noexec gemountet werden. Für jeden User gibts dann ein /chroot/user/bin, das als Loopback mit exec gemountet wird und die User-Binaries enthält. Dann kannst Du auch keine Programme von zu Hause einspielen und alle sind glücklich...

Ciao, (M)

[majortermi]

Es gibt definitiv unter Linux die Möglichkeit, mit einem 10-Zeiler in C aus einer chroot-Umgebung auszubrechen. Um dies abzuschalten, ist ein Linux-Kernel-Patch notwendig, der Teil des GRSecurity-Kernel-Patches (http://www.grsecurity.org/) ist.

Ich habe mir mal die Homepage des GRSecurity-Patches angeschaut, konnte dort aber nichts im Bezug auf Probleme mit chroot finden.
Könntest du bitte mal den Link auf die Beschreibung eines entsprechenden Exploit posten?
Das Problem ist nämlich, dass du Usern die Ausführung von Programmen in Ihrem Homeverzeichnis erlauben musst, wenn Sie CGI-Skripte benutzen können sollen.

[rootmaster]

ein generelles problem der "jails" bei linux ist wohl, dass sie zwar das filesystem beschränken, aber nicht den prozessraum. ein beliebter angriff - wenn auch nicht der einzige ;) - ist, mit race-condition+setuid+temp eine root shell zu bekommen.
eine bessere lösung wäre, uid 0 auf den user zu mappen, was imho zur zeit aber nur mit bsd möglich ist: virtuelles prozessmanagement mit eigenem environment. sollte uid 0 kompromittiert sein, dann beträfe das nur einen speziellen prozessraum.
insofern sind beide hier dargelegten jail-umgebungen gleichwertig, wobei mir die mit der busybox die elegantere und performantere zu sein scheint 8)

"back to the roots"

[majortermi]

@rootmaster:
Natürlich kann man sich auch fragen, wofür man in einem Jail SetUID-Root Binaries braucht...
Aber prinzipiell gebe ich dir recht: Das Problem ist, wie ich bereits einmal angesprochen habe, fehlerhafte Software, die nicht im Chroot läuft.

[hugo]

Salve!
Wie mache ich das ganze denn wenn ich kein Confixx mehr auf dem Server habe?
So wie ich mir das dachte geht das nicht:
Benutzer "Hugo" anlegen.
Home: /home/chroot/hugo
Login-Shell -> /usr/local/bin/jail

Dann:

Code: Select all

/usr/local/bin/addjailuser /var/chroot /home/chroot/hugo /bin/bash hugo

Wenn ich mich dann einloggen möchte:

Code: Select all

jail: chrooted directory /home/chroot/hugo is not configuredfor jail (bad passwd file); bailing out.

Wo ist der blöde Fehler?

Hugo ;)

[sascha]

Hi,

das ~home für den "echten" Systemuser muss /var/chroot sein.

[hugo]

Salve!
Also irgendewas stimmt nicht. Wenn ich mich z.B. mit WinSCP einlogge kommt direkt:

Code: Select all

Command "groups"
failed with return code 127 and error message
-jail: groups: command not found.

Er macht dann weiter, aber uppen kann ich nichts...

Ich habe das wie folgt gemacht:
Alles nach Anleitung und ab "Neuen Systembenutzer anlegen" so:

Code: Select all

useradd -d /var/chroot -p Passwort -g users -s /usr/local/bin/jail hugo

Code: Select all

/usr/local/bin/addjailuser /var/chroot /home/chroot/hugo /bin/bash hugo

Hugo ;)

[hugo]

[Anonymous]

Aehm :) wir ham auf confixx 1.6.3 upgegradet, da gibt es scheinbar keine confixx_adduser.pl

wie ginge es denn theoretisch weiter? wie können wir einen User via Jail Rechte für 'sein' Verzeichnis geben?

[knollo]

Ich habe das wie folgt gemacht:
Alles nach Anleitung und ab "Neuen Systembenutzer anlegen" so:

Code: Select all

useradd -d /var/chroot -p Passwort -g users -s /usr/local/bin/jail hugo

Code: Select all

/usr/local/bin/addjailuser /var/chroot /home/chroot/hugo /bin/bash hugo

Hugo ;)

Die Anleitung habe ich auch befolgt, kommt von weiter oben... :D

[EDIT] P.S.: Das Problem mit SCP habe ich auch... / Ich meine es lassen sich bei mir generell keine Progs dazufügen, aber das ist wohl ein Problem von mir, habe die bash einfach reinkopiert, und dann kann ich mich auch anmelden...[/EDIT]

Grüße

Knollo

[gamecrash]

Wenn ich als Homeverzeichnis /var/chroot angeben muss, gehe ich recht in der Annahme dass dann Suexec nicht mehr laufen würde?

[sascha]

Ja das ist richtig. Du kannst die Verzeichnise natürlich auch unter /home/www/ anlegen.

[bigbutt]

Hi,

wenn ich Software in ins Jail hinzufügen möchte bekomme ich folge Fehlermeldung:
usr/local/bin/addjailsw /var/chroot -P bash

addjailsw
A component of Jail (version 1.9 for linux)
http://www.gsyc.inf.uc3m.es/~assman/jail/
Juan M. Casillas <assman@gsyc.inf.uc3m.es>

Guessing bash args(0)
Can't build dependencies for /bin/bash

Done.

Woran kann das liegen?

bigbuTT

[bigbutt]

Hallo,

mein erstes Problem ist gelöst :-D
Nun hab ich aber ein neues :(
Wenn ich das richtig verstanden habe hat jeder JailUser sein HomeDirectory in /var/chroot. Das heisst alle persönlichen Files wandern in /var/chroot. Wenn ich aber mehrer JailUser habe bekomme ich da aber ein Problem :(
Am liebsten würde ich in der NichtChrootPasswd /var/chroot/home/UserXX als HomeDirectory eintragen. Geht aber nicht :)
Gibt es eine andere Lösung?

bigbuTT

[[tom]]

DEL - Hab meinen Beitrag wegen unnötiger Wiederholung wieder gelöscht.

BTW: Hier fehlt der Löschknopp. ;-)

[TOM]

[bigbutt]

@[TOM] warum gelöscht?
Lag es an meiner dämlichen Frage? Wegen Wiederholung?

bigbuTT

[cfreak]

hmm :-( wo liegt der fehler?

kiste:/var/chroot# /usr/local/bin/addjailsw /var/chroot

addjailsw
A component of Jail (version 1.9 for linux)
http://www.gsyc.inf.uc3m.es/~assman/jail/
Juan M. Casillas <assman@gsyc.inf.uc3m.es>

Guessing head args()
Can't build dependencies for /usr/bin/head
Guessing cat args()
Can't build dependencies for /bin/cat
Guessing pwd args()
Can't build dependencies for /bin/pwd
Guessing ln args()
Can't build dependencies for /bin/ln
Guessing mkdir args()
Can't build dependencies for /bin/mkdir
Guessing rmdir args()
Can't build dependencies for /bin/rmdir
Guessing ls args()
Can't build dependencies for /bin/ls
Guessing sh args()
Can't build dependencies for /bin/sh
Guessing mv args()
Can't build dependencies for /bin/mv
Guessing rm args()
Can't build dependencies for /bin/rm
Guessing more args()
Can't build dependencies for /bin/more
Guessing grep args()
Can't build dependencies for /bin/grep
Guessing vi args(-c q)
Can't build dependencies for /usr/bin/vi
Guessing id args()
Can't build dependencies for /usr/bin/id
Guessing cp args()
Can't build dependencies for /bin/cp
Guessing tail args()
Can't build dependencies for /usr/bin/tail
Guessing touch args()
Can't build dependencies for /bin/touch

Done.

[cfreak]

*ja ich weiß, ich seh es selbst nicht so gerne, aber *schieb** .. :>

[quicksilver]

bin wohl zu doof dazu... :oops:
Bei mir kann der user sich nachher noch Frei im system bewegen :(
das einzige was ich anders gemacht habe ist das ich den user per yast erstellt hab