Re: linux-vserver
Hallo!
Am Donnerstag, den 01.09.2005, 08:49 +0200 schrieb Klaus Schuehler:
> Chroot scheint nicht so ganz sicher zu sein. Weiss einer
> über die anderen beiden etwas. Ist relativ wenig zu finden.
> Das gilt besonders für linux-vserver.
Vielleicht reicht Dir ein chroot, wenn Du das härtest. Grsecurity
(http://grsecurity.net) bietet dazu folgendes an:
* No attaching shared memory outside of chroot
* No kill outside of chroot
* No ptrace outside of chroot (architecture independent)
* No capget outside of chroot
* No setpgid outside of chroot
* No getpgid outside of chroot
* No getsid outside of chroot
* No sending of signals by fcntl outside of chroot
* No viewing of any process outside of chroot, even if /proc is mounted
* No mounting or remounting
* No pivot_root
* No double chroot
* No fchdir out of chroot
* Enforced chdir("/") upon chroot
* No (f)chmod +s
* No mknod
* No sysctl writes
* No raising of scheduler priority
* No connecting to abstract unix domain sockets outside of chroot
* Removal of harmful privileges via capabilities
* Exec logging within chroot
Das ist ein bisschen mehr als das, was Linux von Haus aus anbietet.
Grsecurity kommt mit pax und unterstützt role based access control,
auditing usw., aber das ist alles optional.
Ansonsten macht user-mode-linux auch eine ganze Menge Spaß. Das kann man
auch recht locker in ein chroot einsperren.
Gruß
Sven
--
Sven Lauritzen
--------------------------------------------------------------------
mailto: the minus pulse at gmx dot net
pub 1024D/95C9A892 sub 1024g/D30E490F ABCDEFGHIJKLM
Fp 2FA9 FC9B 078C 5BC7 87DC 0B0D 2329 94F6 95C9 A892 NOPQRSTUVWXYZ
--------------------------------------------------------------------
Reply to: