Re: Pflege und Hege von chroot-Umgebungen

To: debian-user-german@lists.debian.org
Subject: Re: Pflege und Hege von chroot-Umgebungen
From: Dirk Ullrich <du4unix@web.de>
Date: Tue, 16 May 2006 13:17:59 +0200
Message-id: <[🔎] 303856072@web.de>

Rudolf Weeber schrieb:
> Hi,
> On Mon, May 15, 2006 at 10:45:01PM +0200, Simon Brandmair wrote:
> > Ich konnte mich jetzt endlich dazu aufraffen, einen paar Serverprogis in
> > ein chroot-Gefängnis einzusperren (mit makejail und chrootuid).
> > 
> > Soweit ich das jetzt blicke, besteht doch damit ein potentielles
> > Sicherheitsrisiko, _falls_ ich die Dateien im Gefängnis nicht
> > aktualisere. Dann liefe doch der Server mit veraltetem (und damit u.U.
> > unsicheren) Bibliotheken, Binaries, etc.
> > 
> > Wie stellt ihr sicher, dass das chroot-Gefängnis aktuell ist? Nach jedem
> > aptitude update eine makejail laufen zu lassen, finde ich ein bißchen
> > übertrieben. Ich dachte eher an ein Skript, welches /var/chroot/*
> > durchstöbert und mit dem echten / vergleicht.
> Ich wuerde versuchen, das Chroot als komplettes Debiansystem zu
> installieren (mit debootstrap).
> Ich habe debootstrap zwar bisher nur benutzt, um neue Systeme
> vorzubereten, aber mir ist kein Grund bekannt, warum man das nicht auf
> Dauer als chroot betreiben sollen koennte.
> Eine Anleitung fuer eine entsprechende Installation findest Du im
> grossen ganzen im Debian-Installations-Handbuch (wenn ich mich recht
> erinnere.)
> 
> Gruesse, Rudolf

Das Aufsetzen eines eigenen "chroot"-System für Serverdienste ist eine
keine schlechte Idee - und es geht genauso wie bei der Installation eines
neuen Systems mit "debootstrap". Das ist z.B. im Debian-Installations-
Handbuch beschrieben -z.B.
http://www.debian.org/releases/stable/i386/apcs04.html.de
Man startet einfach mit dem "debootstrap"-Schritt und nimt statt dem Mountpoint
das Verzeichnis <chroot dir>, unterhalb von dem das "chroot"-Zeugs landen soll:
debootstrap --resolve-deps <debian version> <chroot dir> <deb spiegel>/debian

Man kann das "chroot"-System noch etwas kleiner machen indem man die
Paketauswahl von "debootstrap" anpasst. Ich installiere z.B. immer nur die
"Essential"-DEBs + debconf + mawk + apt + gnupg.

Noch besser m.E.: Man sperrt Serverdienste in eine virtuelle DMZ ein.
Dazu gibt's wieder zig Möglichkeiten (Qemu, Vmware, Xen, UML, ...).

Dirk
_______________________________________________________________
SMS schreiben mit WEB.DE FreeMail - einfach, schnell und
kostenguenstig. Jetzt gleich testen! http://f.web.de/?mc=021192

Reply to:

Follow-Ups:
- Re: Pflege und Hege von chroot-Umgebungen
  - From: Simon Brandmair <sbrandmair@gmx.net>

Prev by Date: Re: Neukompilieren DEB (war: Re: libasound2 1.0.11 Etch fehler DMIX)
Next by Date: Re: Neukompilieren DEB (war: Re: libasound2 1.0.11 Etch fehler DMIX)
Previous by thread: Re: Pflege und Hege von chroot-Umgebungen
Next by thread: Re: Pflege und Hege von chroot-Umgebungen
Index(es):
- Date
- Thread