ssh i chroot

[krawiec]

Hello Roman,

Thursday, April 8, 2004, 2:45:23 PM, you wrote:

RN> dnia Thu, Apr 08, 2004 at 08:52:11AM +0200, krawiec napisal(a):

>> Działa już a AC i w RA, w grsec pod ra są opcje utrudniające wyjście z
>> chroot ale w /etc/sysctl.conf oczywiscie są błedy, i trzeba ręcznie
>> dopisać parametry chroot dla grsec.

RN> a moglbys sie pochwalic o ktore opcje chodzi i jak je ustawiles ze dziala ?

Chodzi o opcje w sysctl.conf
kernel.grsecurity.chroot_deny_sysctl = 1
kernel.grsecurity.chroot_caps = 1
kernel.grsecurity.chroot_execlog = 1
kernel.grsecurity.chroot_restrict_nice = 1
kernel.grsecurity.chroot_deny_mknod = 1
kernel.grsecurity.chroot_deny_chmod = 1
kernel.grsecurity.chroot_enforce_chdir = 1
kernel.grsecurity.chroot_deny_pivot = 1
kernel.grsecurity.chroot_deny_chroot = 1
kernel.grsecurity.chroot_deny_fchdir = 1
kernel.grsecurity.chroot_deny_mount = 1
kernel.grsecurity.chroot_deny_unix = 1

i takie trzeba dopisac do sysctl.conf, przynajmniej u mnie bo. te
które są w distro:
#kernel.grsecurity.chroot_restrictions = 1
#kernel.grsecurity.chroot_execlog = 0
#kernel.grsecurity.chroot_caps = 0
niestety nie banglają wyskakuje błąd że takich opcji nie ma.
i jeszcze paru innych ale napewno kiedyś ktoś to poprawi ;)
a co do całego chroota to nie ma wielkiej filozofii
/etc/chroot.conf
dodać pam_chroot.so do sshd i system-auth
i będzie banglać ;)



--