Re: Prison SSH
oui c'est clair.
je n'ai pas encore utilisé vservers, mais si je
comprends bien le principe, je pourrai créer une
machine debian virtuelle, avec sa propre adresse IP,
dans laquelle je mettrai un environnement chrooté pour
les clients. et donc même s'ils réussissent à en
sortir, ils se retrouveront toujours dans la machine
virtuelle..
ça vous semble jouable?
--- Davy Gigan <davy@info.unicaen.fr> a écrit :
> Le Jeudi 23 Juin 2005 16:20, Ludovic Desfontaines a
> écrit :
> > Je te suggère de regarder également du côté des
> vservers.
> > Car, quitte à sécuriser, autant le faire au max.
> >
> > URL : http://linux-vserver.org/
>
> Il est clair qu'un simple chroot ne sert pas à se
> protéger
> des attaques contre le service ouvert : en
> l'occurence le
> service ssh.
>
> Le souci, c'est qu'à chaque problème de sécurité
> dans le service
> ssh, il faudra refaire les chroot. En effet, comme
> ssh fonctionne
> en tant que root, un problème de sécurité = chroot
> cassé et
> un attaquant peut en sortir pour aller voir ce qu'il
> se passe sur
> le serveur qui contient le chroot - en root
> évidemment :(
>
> Avec le patch grsec, il me semble qu'il est plus
> difficile de sortir
> d'un chroot, mais cela n'enlève pas le problème
> d'une attaque sur tes
> services ssh chrootés et la gestion de toutes les
> versions en parallèle.
>
> Avec les vserveurs, tu auras la possibilité de
> partager certains
> fichiers entre toutes les instances, ce qui te
> permettra en cas
> de mise à jour du service ssh de ne le faire qu'une
> seule fois.
>
>
> --
> Davy Gigan
> System & Network Administration [Please no
> HTML, I'm not a browser]
> University Of Caen (France) [Pas d'HTML, je ne
> suis pas un navigateur]
>
___________________________________________________________________________
Appel audio GRATUIT partout dans le monde avec le nouveau Yahoo! Messenger
Téléchargez cette version sur http://fr.messenger.yahoo.com
Reply to: