Re: bind lwresd chroot
On Thu, 12 Dec 2002 11:11:45 CET
deb_dup@club-internet.fr wrote:
> J'ai lu plusieurs doc du genre comment faire. Elles parlent toutes d'un chroot avec/sans librairie dynamiques mais sans déplacement.
> Quel est le problème de sécurité lié aux librairie dynamiques ?
C'est plutôt une raison pratique dans ce cas, tu n'as pas à copier les
librairies dans le chroot.
Il y a des exploits spécifiques aux librairies dynamiques (interception
d'appels systèmes pour masquer un rootkit avec des librairies remplacées
ou des nouvelles en preload), mais dans le cas du chroot ca n'est pas
significatif : il n'y a qu'un démon dans le chroot avec les mêmes droits
sur tous les binaires et les librairies donc si un cracker a modifié tes
librairies il aurait aussi bien pu le faire avec le binaire.
La règle de sécurité essentielle avec un chroot est qu'il doit il y avoir
le moins de trucs possibles dedans et notamment rien qui puisse donner
un accès root même dans le chroot car alors c'est possible d'en sortir :
démon qui ne tourne pas en root, pas de binaire suid.
> Faut-il chrooter lwres aussi ?
Non seulement le démon, il n'y a pas de problème de sécurité
lié au client qui n'est pas visible de l'extérieur.
> Comment être certain que le bind chrooté est bien chrooté ?
#ps -eaf | grep named
named 32361 1 0 Dec11 ? 00:00:00 /usr/sbin/named -u named
named 32363 32361 0 Dec11 ? 00:00:00 /usr/sbin/named -u named
named 32364 32363 0 Dec11 ? 00:01:14 /usr/sbin/named -u named
named 32365 32363 0 Dec11 ? 00:00:00 /usr/sbin/named -u named
named 32366 32363 0 Dec11 ? 00:00:15 /usr/sbin/named -u named
C'est normal que tu ne vois pas le path du binaire dans le chroot ici (et pas
le -t pour moi parce que je l'ai lancé avec la commande chroot), c'est la chaîne
de caractère construite par l'appel système (argument index 0).
Pour vérifier par exemple avec lsof :
#lsof -p 32361
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
named 32361 root cwd DIR 22,5 4096 352870 /var/chroot/bind/var/cache/bind
named 32361 root rtd DIR 22,5 4096 160425 /var/chroot/bind
named 32361 root txt REG 22,5 248680 449620 /var/chroot/bind/usr/sbin/named
....
Alain
Reply to: