Segurança dos binários chroot e linux

Navegue suas respostas
2

Gostaria de verificar a segurança dos programas chroot e default em uma distribuição linux (digamos, Ubuntu).

Exemplo: Eu configurei o diretório de prisão 'A'. Todo binário linux da distribuição é colocado em 'A' com as ACLs sendo as mesmas.

por exemplo. Um / usr / bin contém todos os executáveis / usr / bin, A / bin tem exe's de / bin, etc.

Suponha que nenhum outro arquivo seja gravado.

Um usuário não confiável é colocado no chroot jail 'A' e opera como um uid aleatório.

A questão: este ambiente é tão seguro quanto um unjailed? É impossível para ele obter acesso root ou sair da cadeia? (impedindo explorações de raiz do linux)

Por exemplo, inicialmente fiquei preocupado que agora o usuário pudesse escrever seu próprio arquivo sudoers. Mas, felizmente, o sudo verifica se os sudoers são de propriedade da raiz. Cada programa padrão está programado com cuidado?

    
por user80203 03.05.2011 / 08:46

2 respostas

1

Não posso responder à sua pergunta, por isso modifique-me se quiser. No entanto, muitas pessoas antes de mim, e muitas depois, confirmarão para você o óbvio: que o chroot jail não é um mecanismo de segurança (você falou sobre o Linux; as cadeias BSD são diferentes o suficiente, não estou falando sobre elas). Para citar um hacker do kernel muito conhecido, Alan Cox, eles não são um mecanismo de segurança . Para ser honesto, eu só vejo / ouço / leio sobre o uso bem-sucedido do chroot para empacotar o ambiente de construção e teste. É aqui que brilha. Não é especificamente uma boa plataforma de segurança, especialmente se apenas em isolamento.

Hoje em dia, as pessoas falam sobre containers Linux com cgroups e outras soluções de virtualização, como OpenVZ ou Linux VServer . Eu não estou dizendo que eles são definitivamente a resposta, mas o impacto da degradação do desempenho é que há um bom isolamento entre as máquinas virtuais host e guest. Espero que isso tenha sido útil.

    
por 03.05.2011 / 11:17
0

Eu recomendo dar uma olhada nas limitações gerais do processo de criação de cromadas e quais projetos como OpenVZ faz para restringir o uso de recursos dentro do ambiente de virtualização ou cadeia chroot para responder a sua pergunta" é impossível sair ".

Se você simplesmente tentar fazer chroot manualmente com um usuário em uma cópia de todo o sistema, além de modificar as permissões aqui e ali e tentar mantê-lo atualizado com as atualizações de segurança do sistema principal, você não terá o mesmo padrão de segurança.

    
por 03.05.2011 / 10:00

Tags

SQL2008 e SQL2008r2Express no mesmo servidor Como posso enviar e-mails a partir da linha de comando com conclusão de tabulação de destinatário e anexo de arquivo adequado?