Hallo,
nachdem ich am Wochenende mal wieder einen Server mit Apache 2 im Chroot aufgesetzt habe kam mir folgende Idee:
Das Chroot ist bis auf die Daten der Webseite praktisch leer (es ist über mod-security realisiert). Sollte nun ein Angreifer es schaffen ein PHP-Script dazu zu bringen z.B. /bin/sh aufzurufen hätte ich dort anstelle einer Shell gerne ein simples Binary welches z.B. eine Meldung ins Syslog schreibt.
Natürlich kann ich sowas selbst in Shell schreiben aber vielleicht hatte ja jemand schon vorher diese Idee (und hat sie auch ordentlich implementiert) :-D
/bin/sh Aufrufe im Chroot loggen
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: /bin/sh Aufrufe im Chroot loggen
AFAIR wirst du bei GRSecurity fündig.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: /bin/sh Aufrufe im Chroot loggen
BTW: vor einiger Zeit (ca. 3 Jahre) brauchte php ne richtige
/bin/sh - sonst tun die Socket Funktionen z.B. nicht...
Also einfach ersetzen is evtl. nicht die beste Idee ;)
Gruss,
Darkman
/bin/sh - sonst tun die Socket Funktionen z.B. nicht...
Also einfach ersetzen is evtl. nicht die beste Idee ;)
Gruss,
Darkman
Re: /bin/sh Aufrufe im Chroot loggen
Um meine Frage mal selbst zu beantworten:
CONFIG_GRKERNSEC_CHROOT_EXECLOG
ist das passende Kernel-Konfigurations-Flag, wenn man GR-Security verwendet.
Auf dem Security-Level 'high', das ich ausgewählt hatte ist das allerdings nicht aktiviert. Man muß das Level also auf 'custom' setzen um dies auswählen zu können.
CONFIG_GRKERNSEC_CHROOT_EXECLOG
ist das passende Kernel-Konfigurations-Flag, wenn man GR-Security verwendet.
Auf dem Security-Level 'high', das ich ausgewählt hatte ist das allerdings nicht aktiviert. Man muß das Level also auf 'custom' setzen um dies auswählen zu können.