Page 1 of 1
Probleme mit grsecurity-chroot-restrictions und Bash
Posted: 2006-11-02 13:21
by aldee
Hallo,
ich hatte bereits im grsecurity-Forum einen entsprechenden Thread aufgemacht, leider kam da bisher nichts zurück. Bin ich tatsächlich der einzige, bei dem es bei aktivierten chroot-Restrictions zu merkwürdigen Effekten beim "Pipen" in einer gechrooteten Bash kommt (-bash: child setpgid (28927 to 28926): Operation not permitted)? Genutzter Kernel ist 2.6.17.11-grsec ohne sysctl.
Bei Google findet sich leider auch nicht wirklich etwas, das genau mit diesem Problem zu tun hat. Evtl. mit Ausnahme von
http://www.livejournal.com/community/ru ... 77872.html, leider bin aber des Russischen aber nicht mächtig (und laut online-Übersetzung erstrecken sich die Vermutungen dort auch nur hinsichtlich eines möglicherweise installierten Rootkits, welches aber auf meiner Kiste nicht vorhanden ist ;-).
Details hier:
http://forums.grsecurity.net/viewtopic.php?t=1594
Danke im Voraus für alle Ideen,
aldee
Re: Probleme mit grsecurity-chroot-restrictions und Bash
Posted: 2006-11-03 00:44
by aldee
Da das Problem auch mit dem aktuellsten grsec-Patch und 2.6.18.1 auftritt, habe ich mich jetzt schweren Herzens dazu durchgerungen, CONFIG_GRKERNSEC_CHROOT_FINDTASK zu deaktivieren und in meinem chroot keinen Super-User zu haben. Falls sich jemand wundern sollte: dort drinnen läuft ein komplettes Debian mit entsprechenden Anpassungen.
Re: Probleme mit grsecurity-chroot-restrictions und Bash
Posted: 2006-11-03 14:31
by tomotom
aldee wrote:... keinen Super-User zu haben. Falls sich jemand wundern sollte: dort drinnen läuft ein komplettes Debian mit entsprechenden Anpassungen.
Meinst Du unter xen?
Re: Probleme mit grsecurity-chroot-restrictions und Bash
Posted: 2006-11-03 15:20
by sledge0303
tomotom wrote:aldee wrote:... keinen Super-User zu haben. Falls sich jemand wundern sollte: dort drinnen läuft ein komplettes Debian mit entsprechenden Anpassungen.
Meinst Du unter xen?
Glaube er meint komplettes Debian in einer chroot Umgebung. So in etwa wird er es gemacht haben:
Code: Select all
Pfad zum chroot und danach:
debootstrap stable ./chroot ftp://...
Halte aber von der Variante nicht sehr viel. Lieber bestimmte Dienste mit seinen Abhängigkeiten einzeln in ein chroot stecken. Je mehr in einem chroot drin bzw aktiviert ist, desto größer die Chance das es zerlegt wird...
Re: Probleme mit grsecurity-chroot-restrictions und Bash
Posted: 2006-11-03 20:20
by aldee
sledge0303 wrote:Glaube er meint komplettes Debian in einer chroot Umgebung. So in etwa wird er es gemacht haben:
Korrekt.
sledge0303 wrote:Halte aber von der Variante nicht sehr viel. Lieber bestimmte Dienste mit seinen Abhängigkeiten einzeln in ein chroot stecken. Je mehr in einem chroot drin bzw aktiviert ist, desto größer die Chance das es zerlegt wird...
Jedem das seine :-). Ich halte ein eigenes chroot für jeden Benutzer auf der Kiste für übertrieben. Vielmehr habe ich mich "ganz grob" an der Konfiguration von Massenhostern orientiert, soweit man diese "von außen" festellen kann. Natürlich laufen im chroot selber nur die wirklich dort benötigten Dienste.
Re: Probleme mit grsecurity-chroot-restrictions und Bash
Posted: 2006-11-03 21:10
by sledge0303
Ich halte ein eigenes chroot für jeden Benutzer auf der Kiste für übertrieben. Vielmehr habe ich mich "ganz grob" an der Konfiguration von Massenhostern orientiert, soweit man diese "von außen" festellen kann. Natürlich laufen im chroot selber nur die wirklich dort benötigten Dienste.
zur Zeit setze ich eine andere Konzeption auf openVZ und XeN um, wenn es so mit der Performance hinhauen sollte, scheint es sogar noch eine bessere Lösung zu werden als mit chroot.
Danach BSD...
Stillstand is schlecht im Business ;)
Re: Probleme mit grsecurity-chroot-restrictions und Bash
Posted: 2006-11-03 22:26
by aldee
Xen scheidet für mich allein schon aufgrund der ... nun, nur für bestimmte Anwendungsbereiche geeigneten Speicherausnutzung aus - oder hat sich da mittlerweile etwas geändert?