Re: Fonctionnement de chroot

To: debian-user-french@lists.debian.org
Subject: Re: Fonctionnement de chroot
From: Olive <enchere_email@yahoo.fr>
Date: Sat, 24 Jan 2004 20:13:28 +0100
Message-id: <[🔎] 20040124201328.14aae061@linuxcestcomplique>
In-reply-to: <[🔎] 40129B2C.4070409@free.fr>
References: <[🔎] 20040124132553.0dec8e58@linuxcestcomplique> <[🔎] 40129B2C.4070409@free.fr>

On Sat, 24 Jan 2004 17:19:56 +0100, Farid Messaoud
<Farid.Messaoud@free.fr> wrote :

> Olive wrote:
> 
> >Bonjour,
> >
> >Je souhaite utiliser chroot pour des raisons de sécurité et j'essaye
> >donc d'expérimenter cette commande. Cependant je me rends compte que
> >cette commande n'est pas très documentée et j'aimerais avoir quelques
> >éclaircissement :
> >
> >1) Tout d'abord j'ai voulu mettre dans la 'prison' qu'un ls pour
> >faire un test. Impossible de le faire marcher sans mettre aussi un
> >/bin/bash, est-ce normal ?
> >
> >2) Y a-t-il une différence fondamentale entre recopier dans la
> >'prison' les exécutables avec les /lib/*.so correspondant ou vaut-il
> >mieux recompiler statiquement ?
> >
> >3) Comme indiqué dans :
> >http://www.linuxsecurity.com/feature_stories/feature_story-99.html
> >Il est fondamental d'éliminer tout notion de 'root' dans la prison,
> >mais je ne vois pas bien comment lancer les programmes en tant
> >qu'utilisateur? car dès que je lance chroot il semble que je sois
> >directement devenu root dans l'environnement (UID 0)
> >J'ai essayé -sans succès- d'utiliser le programme setuidgid des
> >daemontools pour fixer l'UID du processus que je vais lancer mais
> >bizarrement même si j'importe dans la 'prison' /etc/passwd et
> >/etc/group, setuidgid persiste à me dire que l'utilisateur n'existe
> >pas... De plus le fait même d'avoir setuidgid dans la 'prison' me
> >renvoi à la case départ (désolé c'est à force de jouer au
> >Monopoly...) car du
> >coup la notion de root peut revenir par la fenêtre (un attaquant peut
> >corrompre le setuidgid pour acquérir l'UID 0).
> >
> >Merci d'avance pour votre aide.
> >
> Applique le patch kernel-patch-2.4-grsecurity.
> 
> apt-get install kernel-patch-2.4-grsecurity
> 
> puis tu recompile ton kernel et tu cherche des doc sur ce patch et ses
> 
> options .
> 

Ok je viens de faire un tour sur le site de grsecurity, le nombre de
possibilité est positivement impressionante mais n'est-ce justement pas
la bazooka pour tuer la mouche ?
Est-ce que l'application du patch ne va pas engendrer des effets de bord
sur mon système ?
Je voulais juste utiliser proprement chroot...

Reply to:

References:
- Fonctionnement de chroot
  - From: Olive <enchere_email@yahoo.fr>
- Re: Fonctionnement de chroot
  - From: Farid Messaoud <Farid.Messaoud@free.fr>

Prev by Date: Re: Fonctionnement de pppoe et pppd
Next by Date: je peux seulement lancer xmms en root
Previous by thread: Re: Fonctionnement de chroot
Next by thread: Re: Fonctionnement de chroot
Index(es):
- Date
- Thread