[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: bind lwresd chroot

On Thu, 12 Dec 2002 11:11:45 CET
deb_dup@club-internet.fr wrote:

> J'ai lu plusieurs doc du genre comment faire. Elles parlent toutes d'un chroot avec/sans librairie dynamiques mais sans déplacement. 
> Quel est le problème de sécurité lié aux librairie dynamiques ?

C'est plutôt une raison pratique dans ce cas, tu n'as pas à copier les
librairies dans le chroot.

Il y a des exploits spécifiques aux librairies dynamiques (interception
d'appels systèmes pour masquer un rootkit avec des librairies remplacées
ou des nouvelles en preload), mais dans le cas du chroot ca n'est pas
significatif : il n'y a qu'un démon dans le chroot avec les mêmes droits
sur tous les binaires et les librairies donc si un cracker a modifié tes
librairies il aurait aussi bien pu le faire avec le binaire.

La règle de sécurité essentielle avec un chroot est qu'il doit il y avoir
le moins de trucs possibles dedans et notamment rien qui puisse donner
un accès root même dans le chroot car alors c'est possible d'en sortir :
démon qui ne tourne pas en root, pas de binaire suid.

> Faut-il chrooter lwres aussi ?

Non seulement le démon, il n'y a pas de problème de sécurité
lié au client qui n'est pas visible de l'extérieur.

> Comment être certain que le bind chrooté est bien chrooté ?

#ps -eaf | grep named
named    32361     1  0 Dec11 ?        00:00:00 /usr/sbin/named -u named
named    32363 32361  0 Dec11 ?        00:00:00 /usr/sbin/named -u named
named    32364 32363  0 Dec11 ?        00:01:14 /usr/sbin/named -u named
named    32365 32363  0 Dec11 ?        00:00:00 /usr/sbin/named -u named
named    32366 32363  0 Dec11 ?        00:00:15 /usr/sbin/named -u named

C'est normal que tu ne vois pas le path du binaire dans le chroot ici (et pas
le -t pour moi parce que je l'ai lancé avec la commande chroot), c'est la chaîne
de caractère construite par l'appel système (argument index 0).

Pour vérifier par exemple avec lsof :

#lsof -p 32361
COMMAND   PID USER   FD   TYPE     DEVICE    SIZE     NODE NAME
named   32361 root  cwd    DIR       22,5    4096   352870 /var/chroot/bind/var/cache/bind
named   32361 root  rtd    DIR       22,5    4096   160425 /var/chroot/bind
named   32361 root  txt    REG       22,5  248680   449620 /var/chroot/bind/usr/sbin/named
....


Alain
Reply to: