Re: Fonctionnement de chroot

To: debian-user-french@lists.debian.org
Subject: Re: Fonctionnement de chroot
From: Olive <enchere_email@yahoo.fr>
Date: Tue, 27 Jan 2004 00:52:36 +0100
Message-id: <[🔎] 20040127005236.5480d46d@linuxcestcomplique>
In-reply-to: <[🔎] 20040126020641.5d9c1697.alain@onesite.org>
References: <[🔎] 20040124132553.0dec8e58@linuxcestcomplique> <[🔎] 20040126020641.5d9c1697.alain@onesite.org>

On Mon, 26 Jan 2004 02:06:41 +0100, Alain Tesio <alain@onesite.org>
wrote :

> > 3) Comme indiqué dans :
> > http://www.linuxsecurity.com/feature_stories/feature_story-99.html
> > Il est fondamental d'éliminer tout notion de 'root' dans la prison,
> > mais je ne vois pas bien comment lancer les programmes en tant
> > qu'utilisateur? car dès que je lance chroot il semble que je sois
> > directement devenu root dans l'environnement (UID 0)
> 
> Plus précisément il est fondamental qu'un utilisateur qui cracke le
> programme qui tourne dans le chroot ne puisse pas obtenir un accès
> root sinon le chroot ne sert plus à rien. Tu peux laisser des fichiers
> exécutables par root uniquement, mais surtout pas de binaire avec le
> flag suid.

Ok j'ai compris !

> > J'ai essayé -sans succès- d'utiliser le programme setuidgid des
> > daemontools pour fixer l'UID du processus que je vais lancer mais
> > bizarrement même si j'importe dans la 'prison' /etc/passwd et
> > /etc/group, setuidgid persiste à me dire que l'utilisateur n'existe
> 
> En général le programme doit tourner en root au départ (par exemple
> pour binder une socket < 1024) et change vers un autre user le plus
> vite possible.

D'accord mais comment faire dans le cas d'un programme qui n'est pas
conçu comme ça dès le début ? Par exemple 'ls' ou 'find' ?
C'est pourquoi j'avais pensé à setuidgid/

> > pas... De plus le fait même d'avoir setuidgid dans la 'prison' me
> > renvoi à la case départ (désolé c'est à force de jouer au
> > Monopoly...) car du coup la notion de root peut revenir par la
> > fenêtre (un attaquant peut corrompre le setuidgid pour acquérir
> > l'UID 0).
> 
> Je ne connais pas setuidgid, si c'est un exécutable suid comme celui
> de perl il y a un problème, si c'est un truc que tu lances en root
> pour abandonner des privilèges il n'y a pas de risque particulier
> d'escalade d'une intrusion.

Je ne sais pas exactement comment il fonctionne mais il sert justement à
lancer un exécutable sous l'UID d'un utilisateur (cf.
http://cr.yp.to/daemontools/setuidgid.html)

> Essaies makejail (package du même nom), en gros il essaie de trouver
> tous les fichiers requis par ton programme qui tourne en chroot. Il y
> a déjà des fichiers de configuration pour les trucs courants comme
> apache bind mysql, environ une dizaine de lignes dont tu peux
> t'inspirer pour ton cas.

Ok merci du tuyau, je vais jeter un oeil !

Reply to:

References:
- Fonctionnement de chroot
  - From: Olive <enchere_email@yahoo.fr>
- Re: Fonctionnement de chroot
  - From: Alain Tesio <alain@onesite.org>

Prev by Date: Re: mp3
Next by Date: Re: Fonctionnement de chroot
Previous by thread: Re: Fonctionnement de chroot
Next by thread: Probleme d'acces cdrom
Index(es):
- Date
- Thread