Re: log sur une debian chrootée
Salut Régis,
On 07 Oct 2002 16:47:13 +0200
Régis Grison <regis@grison.org> wrote:
> Dans /etc/init.d/sysklogd (si tu as bien le syslog qui est hors du
> chroot et que tu veux que le log prenne en compte ce qui se passe dans
> le chroot), remplace :
> SYSLOGD=""
> par :
> SYSLOGD="-m 0 -a /path/to/chroot/dev/log"
merci ca marche nikel :)
> De mon côté je m'intéresse aux chroots mais pour faire tourner un
> service en particulier. J'ai fait un deboostrap pour créer le chroot
> mais comme je voudrais y faire tourner seulement un service (histoire
> qu'en cas d'exploit les autres services soient protégés) j'aimerais y
> faire le ménage (enlever tout ce qui peut être un risque dans ce cas),
> est-ce que quelqu'un a un tuyau ?
>
> Toi tu as utilisé debootstrap ou autre chose ? N'ayant pas le linux mag
> dont tu parles, j'aimerais bien un résumé de la méthode (juste les
> grandes lignes pour avoir une idée).
J'ai effectivement utilisé debootstrap.
L'article du linux mag présentait surtout comment installer une debian
chrootée dans le but d'avoir un environnement complet dans le chroot et
n'évoquait qu'a la fin les problèmatiques liées à l'utilisation du chroot
pour sécuriser un service. Dans cette partie il évoquait les points
suivant :
- ne pas monter une partition exterieur au chroot
- éviter les programmes chrootés tournant avec des uid ou des gid
existant sur le système principal. Toujours utiliser des uid différents.
- réduire au maximum le nombre de choses installé dans l'environnement
chrooter (il ne présise pas quels paquets enlever) notemment les
programmes setuid root (l'idéal étant qu'il n'y en ait pas).
- concernant /dev, il presise que seul certains devices sont nécessaire
dans l'environnement chrooté, tel que /dev/null, /dev/zero ou /dev/random
selon les programmes qui tournent, les autres doivent pouvoir être
supprimés.
J'espère que cela pourra t'aider.
a+
Julien
Reply to: