Moin,
eigentlich sagt der Betreff schon alles. Ich suche einen Ersatz für das kleine Tool compartment, das ursprünglich von Marc Heuse entwicket wurde. Die letzte mir bekannte Version ist von 2002 (siehe http://www.chronox.de/). compartment kann auf Wunsch nacheinander chroot() und dann setuid() aufrufen, so dass es damit möglich ist, unprivilegierte Prozesse in ein chroot-Jail zu verfrachten (der chroot()-Syscall erfordert normalerweise root-Rechte...) bzw. sicherzustellen, dass ein Prozess nach dem chroot() seine Privilegien abgibt, bevor das eigentlich gewünschte Binary ausgeführt wird...
[solved] compartment-Ersatz gesucht
-
daemotron
- Administrator
- Posts: 2641
- Joined: 2004-01-21 17:44
[solved] compartment-Ersatz gesucht
Last edited by daemotron on 2008-03-15 16:36, edited 1 time in total.
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: compartment-Ersatz gesucht
Mit fällt als Alternative chrootuid vom Postfix-Macher Wietse Venema ein.
-> ftp://ftp.porcupine.org/pub/security/index.html, ftp://ftp.porcupine.org/pub/security/ch ... 1.3.README
Aktueller als compartment ist das allerdings auch nicht. Andererseits wüsste ich nicht, was man an solchen Programmen auch immer verbessern müsste. ;)
-> ftp://ftp.porcupine.org/pub/security/index.html, ftp://ftp.porcupine.org/pub/security/ch ... 1.3.README
Aktueller als compartment ist das allerdings auch nicht. Andererseits wüsste ich nicht, was man an solchen Programmen auch immer verbessern müsste. ;)
-
daemotron
- Administrator
- Posts: 2641
- Joined: 2004-01-21 17:44
Re: compartment-Ersatz gesucht
Danke, werd ich mir nachher mal anschauen.Roger Wilco wrote:Mit fällt als Alternative chrootuid vom Postfix-Macher Wietse Venema ein.
Ansich nicht, aber gestern abend wollte sich compartment nicht kompilieren lassen. Also hab ich mal in den Quellcode geschaut (ist nur eine Datei), aber die ist ziemlich Spaghetti (fast alles steck in main in einem riesigen if-Schachtelwust). Na, zur Not kann man sich so ein Mini-Programm wohl auch selbst zusammenkloppen...Roger Wilco wrote:Andererseits wüsste ich nicht, was man an solchen Programmen auch immer verbessern müsste.
-
opakatze
- Posts: 11
- Joined: 2006-07-07 12:09
Re: compartment-Ersatz gesucht
Ich persönlich habe immer das kleine Tool mit dem lustigen Namen "eselstall" (http://sourceforge.net/projects/eselstall/) verwendet, sollte auch die gewünschten Funktionen bieten und hat bei mir sich bisher immer gut kompilieren lassen. Auch scheint es noch etwas gepflegt zu werden 
Vielleicht kannst du es ja auch brauchen =D
Vielleicht kannst du es ja auch brauchen =D
-
Joe User
- Project Manager
- Posts: 11183
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: compartment-Ersatz gesucht
Naja, letzter Release ist vom 12.01.2004 ;)opakatze wrote:Auch scheint es noch etwas gepflegt zu werden
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
Joe User
- Project Manager
- Posts: 11183
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: compartment-Ersatz gesucht
Dann aber gleich Ressourcen schonend in Assambler ;)jfreund wrote:Na, zur Not kann man sich so ein Mini-Programm wohl auch selbst zusammenkloppen...
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
opakatze
- Posts: 11
- Joined: 2006-07-07 12:09
Re: compartment-Ersatz gesucht
Naja, viel kann man ja an so einem Programm auch nicht verändern =D Aber gut, ist nun auch nicht mehr so top aktuell :-DJoe User wrote: Naja, letzter Release ist vom 12.01.2004 ;)
-
daemotron
- Administrator
- Posts: 2641
- Joined: 2004-01-21 17:44
Re: compartment-Ersatz gesucht
Um zwei Syscalls an den Kernel abzusetzen? Das sind in C auch nur ein paar Zeilen, und das meiste davon includesJoe User wrote:Dann aber gleich Ressourcen schonend in Assambler ;)
-
Joe User
- Project Manager
- Posts: 11183
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: compartment-Ersatz gesucht
Du musst nicht den Quellcode vergleichen, sondern die Binaries, die Geschwindigkeit und den Memoryfootprint. Der Quellcode selbst kann in Assambler durchaus umfangreicher sein, dafür ist das Ergebnis umso schlanker.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
daemotron
- Administrator
- Posts: 2641
- Joined: 2004-01-21 17:44
Re: compartment-Ersatz gesucht
D'oh! ](*,)
Es gibt ein Tool, was genau tut, was ich möchte. Es ist Bestandteil von Gentoo und Debian, ich bin nur nicht drauf gekommen:
Es gibt ein Tool, was genau tut, was ich möchte. Es ist Bestandteil von Gentoo und Debian, ich bin nur nicht drauf gekommen:
Code: Select all
start-stop-daemon --start -c <user> -r </path/to/jail> -b --exec </path/to/binary>