Andre Tann schrieb:
Hallo Dirk, Danke für Deine Antwort.Dirk Finkeldey, Montag, 19. März 2007 14:55:Laufen die notwendigen Netzwerkdienste in einer dchroot mit eingeschränkten rechten,Läßt man sinnvollerweise sämtliche Dienste in einer chroot laufen? Also auch apache, vsftp usw? Das würde je nach Umfang der Verzeichnisbäume ja eine erhebliche Kopierarbeit bedeuten. Also zB: bei einem 10GB großen Internet-Auftritt müßten doch dann beim Apache-Start erstmal 10 GB Daten ins chroot geschaufelt werden, oder?
Nicht unbedingt, man legt ja innerhalb der chroot ein dateisystem fest.Man kann also das eigendliche Verzeichnis in dem Apache läuft inerhald der chroot unter dem selben namen mit geänderten zugriffsrechten definieren, wenn für die ausführung von apache ro ausreicht ändert man in der configurationsdatei für die chroot einfach die rechte für das dateisystem.
Diese änderung gilt nur innerhalb der chroot, dadurch ist es nicht möglich über zugriffe auf Apache änderungen am dateisystem durch zu führen - ein möglicher eindringlin erkennt ja nicht unbedingt das er sich in einer chroot befindet.
Du must nur aufpassen das es keine links gibt die zugriffsmöglichkeiten auf das dateisystem außerhalb der chroot ergeben.
Naja, wenn du ein dateisystem in der chroot definierst und das ursprüngliche verzeichnis außerehalb der chroot symlinks zum / (root) beinhaltet kann das zum ausbruch aus der chroot benutzt werden.besteht die möglichkeit durch zb. vorhandene links aus der dchroot auszubrechen ?Ich dachte, um genau dies zu verhindern sei eine chroot-Umgebung gedacht?
Dirk FinkeldeyMich wundert es ein wenig das bisher keine leute Tips gegeben haben die sich besser mit chroot auskennen