Re: Sicherheit vorm bösen Internet

To: debian-user-german@lists.debian.org
Subject: Re: Sicherheit vorm bösen Internet
From: Helmut Waitzmann <Helmut.Waitzmann@web.de>
Date: Fri, 07 Apr 2006 00:28:21 +0200
Message-id: <[🔎] lflbqvejq4a.fsf@helmutwaitzmann.news.arcor.de>
Mail-followup-to: debian-user-german@lists.debian.org
Reply-to: "Helmut Waitzmann" (usenet) <Helmut.Waitzmann@web.de>
References: <[🔎] 44305D0E.5080301@gmx.de> <[🔎] 200604030906.51499.linux@houdek.de>

Matthias Houdek <linux@houdek.de> writes:

>Montag, 3. April 2006 01:23 - Christoph Grzeschik wrote:

>Schau dir ggf. auch mal chroot an, damit kannst du Programme in einer 
>eigenen, abgesicherten Systemumgebung laufen lassen.

Falls Christoph Grzeschik kein profundes Wissen um »chroot« hat, solltest
Du Deinen Vorschlag lieber so formulieren:

Den Rat »Schau dir ggf. auch mal chroot an« solltest Du lieber nicht
leichtfertig befolgen, denn sofern Du es nicht vollständig verstanden
hast, wirst du damit Programme in einer eigenen, ungesicherten
Systemumgebung laufen lassen, und aus dieser Systemumgebung werden sie
ausbrechen.

Vor den Prozessen, die in einer »chroot«-Umgebung laufen, ist der Rest
des Rechners mitnichten geschützt:  »chroot« ist keine
Sandkastenumgebung, in der man nichts kaputt machen kann.  Ein Beispiel
sei hier nur genannt:  der Systemaufruf »kill«.

Umgekehrt bedeutet eine chroot-Umgebung:  Du musst diese Umgebung wie
einen weiteren Rechner -- wenn auch sehr spartanisch -- vollständig
konfigurieren:  Das bedeutet doppelten Aufwand.

Stell Dir nur mal vor, ein Prozess in der chroot-Umgebung erhält wegen
eines Sicherheitslochs aufgrund einer Fehlkonfiguration Zugriff auf den
Festplattencontroller.  Dann ist die ganze chroot-Umgebung für die Katz.

Nein, »chroot« ist nur was für Leute, die sich damit aus dem FF
auskennen.  Nicht umsonst ist der Systemaufruf »chroot« Prozessen mit der
maßgeblichen Benutzerkennung »root« vorbehalten.

Hinweis zum Weiterdenken, warum das so ist:  »chroot« kann aus der Datei
in meinem HOME-Verzeichnis »/home/helmut/rootjail/etc/passwd«, die
natürlich mir gehört und von mir manipuliert werden kann, ruckzuck eine
Datei mit dem Namen »/etc/passwd« werden lassen.  Jetzt fehlt nur noch
das ganz normale »su«-, »sudo«- oder »login«-Programm dazu.  Wenn ich das
auch noch geschafft habe, dann gute Nacht...
-- 
Wenn Sie mir E-Mail schreiben, stellen |  When writing me e-mail, please
Sie bitte vor meine E-Mail-Adresse     |  precede my e-mail address with
meinen Vor- und Nachnamen, etwa so:    |  my full name, like
Helmut Waitzmann <xxx@example.net>, (Helmut Waitzmann) xxx@example.net

Reply to:

References:
- Sicherheit vorm bösen Internet
  - From: Christoph Grzeschik <pstfch@gmx.de>
- Re: Sicherheit vorm bösen Internet
  - From: Matthias Houdek <linux@houdek.de>

Prev by Date: Re: libpango1.0-common kaputt
Next by Date: Re: XTerm verschluckt die Env.-Variable TMPDIR
Previous by thread: Re: Sicherheit vorm bösen Internet
Next by thread: Re: Sicherheit vorm bösen Internet
Index(es):
- Date
- Thread