Re: Chroot shell in debian
On Sun, Nov 10, 2002 at 03:22:16PM +0100, Francesco Bochicchio wrote:
> On Sun, Nov 10, 2002 at 12:25:55PM +0100, Francesco Paolo Lovergine
> wrote:
>
> > On Sat, Nov 09, 2002 at 07:04:40PM +0100, Roberto Rotta wrote:
> >
> > > Questi file, ad esempio, li hai nella jail? Anche i device...
> >
> >
> > Io aggiungerei che sarebbe opportuno non copiare le cosine a mano ma
> > usare debootstrap per creare un sistema woody di base per ciascun
> > utente. E cosi' sei sicuro che funziona tutto. Se poi ti servisse ad
> > un certo punto aggiungere una feature ti basterebbe fare un chroot e
> > lavorare di apt-get.
>
> Questa e' una buona idea. Comunque a me serve solo un'account
> fittizio, in cui l'utente non deve fare nulla, l'account mi serve solo
> per permettere un tunneling via SSH di una porta TCP/IP ( e no, non
> posso usare stunnel che mi sembra per questo molto piu' appropriato).
> Comunque ho visto sul securing-debian-howto che esiste una patch per
> OpenSSH che permette di usare account chrootati. Provero quello,
> quando ne avro' l'occasione, oltre ad usare tools tipo makejail per
> crearmi la jail.
>
Gia' e con le patch di security.d.o come fai? No, guarda l'unico modo
per rendere il sistema sicuro e facilmente upgradabile senza
problemi e' usare debootstrap. Tra l'altro installa solo la base, per
cui l'ingombro h assolutamente ragionevole. Puoi anche attivare
automatismi via cron per gli apt-get automatici da security. Inoltre
non mi starei a preoccupare per qualche decina di mega occupati
se la sicurezza h il tuo obiettivo. In alternativa a questo ci sono
delle versioni customizzate di kernel tipo LDS, ad esempio, che
consentono un tuning molto piu' fine di tutto. Vedi ad esempio gli
shell account di SF.
Qualsiasi altro sistema rischia di rappresentare un massacro per
metterlo in piedi e aggiornarlo.
--
Francesco P. Lovergine
Reply to: