Re: AMD64 32bit Umgebung unter 64bit System
Hallo, Namensvetter,
Am 29.06.06 schrieb Dirk Finkeldey <dirk.finkeldey@ewetel.net>:
Hast du einen guten link für mich, wo ich nachlesen kann wie man chroot
sicher gestalten kann um netzwerkdienst gegen das system so abzu sichern
das ein fremdzugriff zumindest erheblich erschwert wird ?
Mit freundlichen Grüßen Dirk Finkedley
Leider habe ich so einen Link nicht direkt zur Hand. Einerseits habe ich viel
von meinem Sicherheits-bezogenen Wissen aus 'gedruckten Quellen'. Eine
m.E. gute Quelle für Sicherheitsparanoiker speziell bei Netzwerkdiensten ist
Bauer, Michael: Linux Server Security (O'Reilly) (gibts auch in dt.)
(Der Mann schreibt auch eine Columne "The Paranoid Penguin" für das
"Linux Journal".)
Und andererseits sichere ich nach außen sichtbare Netzwerkdienste unter
Linux immer durch was anderes als (nur) eine chroot-Umgebung: Bei mir
bekommt jeder derartige Dienst einen eigenen Rechner - und sei es auch
nur ein virtueller (bei letzerem habe ich traditionell UML oder Qemu
verwendet, demnächst werde ich es mal mit Xen probieren.)
Was mir sofort einfällt, wenn ich an ein paar Ausbruchsmöglichkeiten denke,
an die ich mich direkt erinnere: Bei einem chroot würde ich beachten:
1. Dienst sollte unbedingt unter einem nicht-"root"-Account laufen oder
zumindest nach dem Starten dahin wechseln.
2. Chroot-Umgebung sollte möglichst auf einer mit "nodev" gemouteten
Partition liegen (gegen Ausbruch mittels eigens erzeugter dev-Files).
3. Chroot-Umgebung sollte eigene Partition bekommen - oder zumindest
auf einer Partition mit möglichst wenig 'Systemzeugs' liegen (gegen
Ausbruch mit Hardlinks).
Und dann sollte der Rechner allgemein gut gehärtet sein. Ein guter Einstieg
dafür direkt für Debian ist m.E. die "Securing Debian HOWTO":
http://www.debian.org/doc/manuals/securing-debian-howto/
Wenn Du noch mehr brauchst würde ich auch noch mal gucken
Dirk
Reply to: