chroot und root-user

Rund um die Sicherheit des Systems und die Applikationen
gamecrash
Posts: 339
Joined: 2002-05-27 10:52

chroot und root-user

Post by gamecrash » 2003-07-31 10:23

Hallo,

ich denke grad drüber nach, ob es nicht sinnvoll wäre, wenn man die wichtigsten Daemons in einer Chroot-Umgebung laufen lassen würde. Die Frage für mich ist jetzt eher, wie sinnig das ist. Einige der Daemons (Apache, SMTP, POP etc.) brauchen doch zum starten Root-Rechte (auch wenn die Kindprozesse unter anderen Usern gestartet werden), schon weil sie sich an die niedrigen Ports hängen wollen. Aber als Root-User müsste man doch ganz leicht aus dem Chroot ausbrechen können, oder? Bringt das dann überhaupt was?

Noch was, chroot kann man nur als root ausführen, oder? Muss man also, wenn denn ein Daemon unter einem anderen Benutzer ausgeführt werden soll, im chroot su / sudo ausführen? Oder gibt's da einen einfacheren Weg?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: chroot und root-user

Post by captaincrunch » 2003-07-31 10:31

Ein chroot an sich ist zwar schon mal etwas "sicherer", als die Dienste im normalen System laufen zu lassen, aber auch hier gibt es (wie du schon selbst sagst) Mittel und Wege daraus auszubrechen.
In Verbindgung mit GRSecurity lassen sich die meisten aber auch nicht nutzen, was die Sicherheit zusätzlich erhöht, was dich aber immer noch nicht davon abhält, den Dienst sicher zu konfigurieren ... ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

gamecrash
Posts: 339
Joined: 2002-05-27 10:52

Re: chroot und root-user

Post by gamecrash » 2003-07-31 10:54

Naja, Dienst sicher konfigurieren hilft Dir bei der nächsten Sicherheitslücke auch nix mehr ;) Und darum geht's mir eigentlich... mir ist ja klar dass chroot nicht der Weisheit letzter Schluss ist, aber wenn er die Sicherheit ein wenig erhöht ist das doch schonmal was...

Was diesen GRSecurity-Patch angeht, bin ich mir nicht so ganz sicher was der eigentlich macht. Ich dachte bei dem geht's hauptsächlich um eine Beschränkung von /proc und dass der User keine fremden Prozesse sieht... aber kann der Root davon abhalten, ein chroot zu verlassen?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: chroot und root-user

Post by captaincrunch » 2003-07-31 10:57

In Verbindgung mit GRSecurity lassen sich die meisten aber auch nicht nutzen, was die Sicherheit zusätzlich erhöht, was dich aber immer noch nicht davon abhält, den Dienst sicher zu konfigurieren ...
Schau's dir mal an : http://grsecurity.net/features.php

Das Teil kann noch um einiges mehr, das Verhindern eines chroot-breakout ist nur ein kleiner Teil des ganzen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

gamecrash
Posts: 339
Joined: 2002-05-27 10:52

Re: chroot und root-user

Post by gamecrash » 2003-07-31 10:59

Danke, hätt ich auch selber drauf kommen können :oops: