Jochen Heller schrieb:
Mein Problem ist, ich hatte gesehen, was ja auch Sinn macht, mir bloß vorher keinen Gedanken drum gemacht, dass dieses Iceweasel dann ja als root läuft.
>
Nun bin ich kein Sicherheitsfanatiker und Privatanwender, also auch zu faul, trotzdem da schon Interesse ist, mein Linux besonders ausgetüftelt abzusichern. Trotzdem, ist es beim Browsen ein bisschen bedenklich, wenn der Prozess als Root läuft, oder brauch ich mir primär da keine Sorgen zu machen? Ich nehme an, dass es dann auf dem 32-Bit-System als Root läuft, aber vielleicht bekommt man von da dann trotzdem Zugriff auf das "Wirt-System"? Bzw. in der Konfiguration wird ja die /home-Partition mit in die chroot-Umgebung eingebunden. Wie sind dazu Eure Einschätzungen?
Das, ist natürlich nicht so gut ... ;-) Ich habe unter meinem 64bit AMD Skype in einem 32bit etch laufen als normaler Benutzer.
Hier mal kurz mein Vorgehen: 1. User in /etc/schroot/schroot.conf festlegen die dchroot nutzen dürfen -- schnipp /etc/schroot/schroot.conf [etch] description=Debian Etch (stable) location=/opt/chroot/etch32bit priority=2 users=user1,user2,... groups=chroot root-groups=root aliases=stable,default personality=linux32 -- schnapp /etc/schroot/schroot.conf 2. /etc/fstab anpass -- schnipp /etc/fstab proc /opt/chroot/etch32bit/proc proc none 0 0 /home /opt/chroot/etch32bit/home none bind 0 0 /tmp /opt/chroot/etch32bit/tmp none bind 0 0 /dev /opt/chroot/etch32bit/dev none bind 0 0 -- schnapp /etc/fstab Aber aufpassen wenn du im chroot was löschen tust, is es weg .. ;-) 3. wenn kein reboot alles mit mount -a mounten4. als User der in der Datei etc/schroot/schroot.conf unter user definiert ist ausfüphren
bash$ dchroot -d iceweaselWenn alles funktioniert läuft nun der iceweasel unter der Userkennung des unprivilegierten Users
Siehe auch: http://www.ecorak.net/linux/howtos/chroot.php Ich hoffe das hilft dir weiter. LG Marco --Diese Mail ist digital unterschrieben, Sie ist nur gültig mit dem folgenden Fingerprint:
This mail is digitally signed, it is only valid with the following Fingerprint:
MD5-Fingerprint: 20:58:47:18:43:33:B5:F3:D4:15:DB:F5:D9:91:EA:2C
Attachment:
smime.p7s
Description: S/MIME Cryptographic Signature