chroot

Robert Richard George 'reptile' Wal reptile w reptile.eu.org
Śro, 25 Lis 1998, 11:09:39 CET 

On 98.11.24 Tomasz Kłoczko pressed the following keys:

> Wydaje mi sie, że w niektórych przypadkach byłoby możliwe łączeni podwórek
> bez utraty poziomu bezpieczeństawa. Mogę się jednak mylić gdyż nie mam za
> bardzo doświadczenia w uruchamianiu chrootowanych usług (po za ftpd ;).

Hmm... Mnie właśnie coś podobnego chodzi po głowie od jakichś dwóch
tygodni... Konta dla dummies. Chrooted evnironment, z odtworzoną częścią
filesystemu. Tamże umieszone są lokalne kopie plików sshadow i passwd. Tam
wywoływane są ftpd i pop3d. Można im jeszcze jako shell wystawiać
chrootowanego /bin/passwd.

Mogą sobie wtedy eftepem wrzucać pliki na WWW, korzystać z poczty, a ich
kont po prostu nie ma, więc nie ma niebezpieczeństwa, że ktoś ukradnie takiej
mamei hasło i coś u mnie narozrabia.

Tylko do tego zdaje się nie trzeba wprowadzać żadnych zmiach w pakietach.
Nie próbowałem jeszcze, ale zdaje się, że wystarczy:

- stworzyć pakiet zawierający niezbędne minumum FS dla takiego środowiska
  (coś w stylu anon-ftpd, tylko troszkę większe);
- przezworkować wywołania pop3d i ftpd tak, żeby szły przez polecenie
  chroot /dummy;
- stworzyć polecenie, które będzie zmieniało hasła i dodawało konta
  wewnątrz tego dummy-root (pewnie wystarczy ,,chroot /dummy passwd'' i
  ,,chroot /dummy adduser'')
- wystawić telnetd również chrooted do katalogu /dummy i dać /bin/passwd
  jako shella wszystkim.
- zadbać, żeby spływała do nich poczta (w qmailu akurat betka);
- ustawić w indianinie UserDir /dummy/home/*/public_html

Powtórzę, że nic z tego na razie jeszcze nie próbowałem, na razie tylko
myślałem nad tym co trzeba zrobić i pojawił mi się jeden problem: co z
logami? Jak _fizycznie_ jest zorganizowany transport logów? Zdaje się, że
/dev/log jest socketem, do którego przysysa się syslog? Czy nie zaszkodzi
niczemu, jak się wystawi drugiego chrooted sysloga?

Kolejną wadą jest to, że ,,power users'' z pełnymi kontami nie mogą
korzystać z ftp(authenticated) i pop3 na standardowych portach. To pierwsze
oczywiście załatwia dla nich najlepiej ssh/scp. Pop3 z autentykacją plain
text też pewnie żaden z nich by nie używał, a jak chcą, to można im
wystawić na innym porcie APOP -- oni będą wiedzieli jak przestawić port w
programie pocztowym, czy innym do ściągania poczty, mameie nie.

Moja pytanie brzmi: czy ktoś widzi jakieś dziury w tym rozumowaniu?

Gad

-- 
------------------<Gadzinka>--<http://reptile.eu.org/>--<Cyber Service>--
--[I WANT ROOM SERVICE!]---------------------------------------[Johnny]--

Więcej informacji o liście dyskusyjnej pld-devel-pl