Hallo,
ich denke grad drüber nach, ob es nicht sinnvoll wäre, wenn man die wichtigsten Daemons in einer Chroot-Umgebung laufen lassen würde. Die Frage für mich ist jetzt eher, wie sinnig das ist. Einige der Daemons (Apache, SMTP, POP etc.) brauchen doch zum starten Root-Rechte (auch wenn die Kindprozesse unter anderen Usern gestartet werden), schon weil sie sich an die niedrigen Ports hängen wollen. Aber als Root-User müsste man doch ganz leicht aus dem Chroot ausbrechen können, oder? Bringt das dann überhaupt was?
Noch was, chroot kann man nur als root ausführen, oder? Muss man also, wenn denn ein Daemon unter einem anderen Benutzer ausgeführt werden soll, im chroot su / sudo ausführen? Oder gibt's da einen einfacheren Weg?
chroot und root-user
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: chroot und root-user
Ein chroot an sich ist zwar schon mal etwas "sicherer", als die Dienste im normalen System laufen zu lassen, aber auch hier gibt es (wie du schon selbst sagst) Mittel und Wege daraus auszubrechen.
In Verbindgung mit GRSecurity lassen sich die meisten aber auch nicht nutzen, was die Sicherheit zusätzlich erhöht, was dich aber immer noch nicht davon abhält, den Dienst sicher zu konfigurieren ... ;)
In Verbindgung mit GRSecurity lassen sich die meisten aber auch nicht nutzen, was die Sicherheit zusätzlich erhöht, was dich aber immer noch nicht davon abhält, den Dienst sicher zu konfigurieren ... ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: chroot und root-user
Naja, Dienst sicher konfigurieren hilft Dir bei der nächsten Sicherheitslücke auch nix mehr ;) Und darum geht's mir eigentlich... mir ist ja klar dass chroot nicht der Weisheit letzter Schluss ist, aber wenn er die Sicherheit ein wenig erhöht ist das doch schonmal was...
Was diesen GRSecurity-Patch angeht, bin ich mir nicht so ganz sicher was der eigentlich macht. Ich dachte bei dem geht's hauptsächlich um eine Beschränkung von /proc und dass der User keine fremden Prozesse sieht... aber kann der Root davon abhalten, ein chroot zu verlassen?
Was diesen GRSecurity-Patch angeht, bin ich mir nicht so ganz sicher was der eigentlich macht. Ich dachte bei dem geht's hauptsächlich um eine Beschränkung von /proc und dass der User keine fremden Prozesse sieht... aber kann der Root davon abhalten, ein chroot zu verlassen?
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: chroot und root-user
Schau's dir mal an : http://grsecurity.net/features.phpIn Verbindgung mit GRSecurity lassen sich die meisten aber auch nicht nutzen, was die Sicherheit zusätzlich erhöht, was dich aber immer noch nicht davon abhält, den Dienst sicher zu konfigurieren ...
Das Teil kann noch um einiges mehr, das Verhindern eines chroot-breakout ist nur ein kleiner Teil des ganzen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: chroot und root-user
Danke, hätt ich auch selber drauf kommen können :oops: