Fonctionnement de chroot
Bonjour,
Je souhaite utiliser chroot pour des raisons de sécurité et j'essaye
donc d'expérimenter cette commande. Cependant je me rends compte que
cette commande n'est pas très documentée et j'aimerais avoir quelques
éclaircissement :
1) Tout d'abord j'ai voulu mettre dans la 'prison' qu'un ls pour faire
un test. Impossible de le faire marcher sans mettre aussi un /bin/bash,
est-ce normal ?
2) Y a-t-il une différence fondamentale entre recopier dans la 'prison'
les exécutables avec les /lib/*.so correspondant ou vaut-il mieux
recompiler statiquement ?
3) Comme indiqué dans :
http://www.linuxsecurity.com/feature_stories/feature_story-99.html
Il est fondamental d'éliminer tout notion de 'root' dans la prison, mais
je ne vois pas bien comment lancer les programmes en tant qu'utilisateur
? car dès que je lance chroot il semble que je sois directement devenu
root dans l'environnement (UID 0)
J'ai essayé -sans succès- d'utiliser le programme setuidgid des
daemontools pour fixer l'UID du processus que je vais lancer mais
bizarrement même si j'importe dans la 'prison' /etc/passwd et
/etc/group, setuidgid persiste à me dire que l'utilisateur n'existe
pas... De plus le fait même d'avoir setuidgid dans la 'prison' me renvoi
à la case départ (désolé c'est à force de jouer au Monopoly...) car du
coup la notion de root peut revenir par la fenêtre (un attaquant peut
corrompre le setuidgid pour acquérir l'UID 0).
Merci d'avance pour votre aide.
Reply to: