Hallo,
ich hatte bereits im grsecurity-Forum einen entsprechenden Thread aufgemacht, leider kam da bisher nichts zurück. Bin ich tatsächlich der einzige, bei dem es bei aktivierten chroot-Restrictions zu merkwürdigen Effekten beim "Pipen" in einer gechrooteten Bash kommt (-bash: child setpgid (28927 to 28926): Operation not permitted)? Genutzter Kernel ist 2.6.17.11-grsec ohne sysctl.
Bei Google findet sich leider auch nicht wirklich etwas, das genau mit diesem Problem zu tun hat. Evtl. mit Ausnahme von http://www.livejournal.com/community/ru ... 77872.html, leider bin aber des Russischen aber nicht mächtig (und laut online-Übersetzung erstrecken sich die Vermutungen dort auch nur hinsichtlich eines möglicherweise installierten Rootkits, welches aber auf meiner Kiste nicht vorhanden ist ;-).
Details hier: http://forums.grsecurity.net/viewtopic.php?t=1594
Danke im Voraus für alle Ideen,
aldee
Probleme mit grsecurity-chroot-restrictions und Bash
Re: Probleme mit grsecurity-chroot-restrictions und Bash
Da das Problem auch mit dem aktuellsten grsec-Patch und 2.6.18.1 auftritt, habe ich mich jetzt schweren Herzens dazu durchgerungen, CONFIG_GRKERNSEC_CHROOT_FINDTASK zu deaktivieren und in meinem chroot keinen Super-User zu haben. Falls sich jemand wundern sollte: dort drinnen läuft ein komplettes Debian mit entsprechenden Anpassungen.
Re: Probleme mit grsecurity-chroot-restrictions und Bash
Meinst Du unter xen?aldee wrote:... keinen Super-User zu haben. Falls sich jemand wundern sollte: dort drinnen läuft ein komplettes Debian mit entsprechenden Anpassungen.
-
sledge0303
- Posts: 695
- Joined: 2005-09-16 00:06
- Location: Berlin-Reinickendorf
- Contact:
Re: Probleme mit grsecurity-chroot-restrictions und Bash
Glaube er meint komplettes Debian in einer chroot Umgebung. So in etwa wird er es gemacht haben:tomotom wrote:Meinst Du unter xen?aldee wrote:... keinen Super-User zu haben. Falls sich jemand wundern sollte: dort drinnen läuft ein komplettes Debian mit entsprechenden Anpassungen.
Code: Select all
Pfad zum chroot und danach:
debootstrap stable ./chroot ftp://...Re: Probleme mit grsecurity-chroot-restrictions und Bash
Korrekt.sledge0303 wrote:Glaube er meint komplettes Debian in einer chroot Umgebung. So in etwa wird er es gemacht haben:
Jedem das seine :-). Ich halte ein eigenes chroot für jeden Benutzer auf der Kiste für übertrieben. Vielmehr habe ich mich "ganz grob" an der Konfiguration von Massenhostern orientiert, soweit man diese "von außen" festellen kann. Natürlich laufen im chroot selber nur die wirklich dort benötigten Dienste.sledge0303 wrote:Halte aber von der Variante nicht sehr viel. Lieber bestimmte Dienste mit seinen Abhängigkeiten einzeln in ein chroot stecken. Je mehr in einem chroot drin bzw aktiviert ist, desto größer die Chance das es zerlegt wird...
-
sledge0303
- Posts: 695
- Joined: 2005-09-16 00:06
- Location: Berlin-Reinickendorf
- Contact:
Re: Probleme mit grsecurity-chroot-restrictions und Bash
zur Zeit setze ich eine andere Konzeption auf openVZ und XeN um, wenn es so mit der Performance hinhauen sollte, scheint es sogar noch eine bessere Lösung zu werden als mit chroot.Ich halte ein eigenes chroot für jeden Benutzer auf der Kiste für übertrieben. Vielmehr habe ich mich "ganz grob" an der Konfiguration von Massenhostern orientiert, soweit man diese "von außen" festellen kann. Natürlich laufen im chroot selber nur die wirklich dort benötigten Dienste.
Danach BSD...
Stillstand is schlecht im Business ;)
Re: Probleme mit grsecurity-chroot-restrictions und Bash
Xen scheidet für mich allein schon aufgrund der ... nun, nur für bestimmte Anwendungsbereiche geeigneten Speicherausnutzung aus - oder hat sich da mittlerweile etwas geändert?