Re: Sicherheitsrisiko? mount /proc in chroot Umgebung
Am Freitag, den 04.07.2008, 19:58 +0200 schrieb Jochen Schulz:
> Uwe Walter:
> > Am Freitag, den 04.07.2008, 16:16 +0200 schrieb Jochen Schulz:
> [...] oder wenn er einen local root exploit anwenden kann.
Ja, diese Gefahr besteht natürlich immer, das ist wahr.
> IMHO ist ein chroot damit nicht wesentlich besser als vernünftige
> Permissions bzw. ACLs.
Du sprichst hier auf die Dateisystem-Attribute (lsattr/chattr) an, oder
eher die libpcap? Für letzteres hier noch einen nützlichen Artikel.
http://www.linux-magazin.de/heft_abo/ausgaben/2008/06/gruenes_licht_fuer_pcaps?category=354
> Es ist nur dazu geeignet, innerhalb des chroot
> eine eventuell geringere Angriffsfläche (für local root exploits) zu
> schaffen, als es das komplette System tut.
Oftmals hilft das natürlich schon, die "unfähigen" Angreifer in ihre
Schranken zu weisen.
> [...] (ACLs, Virtualisierung, physikalisch getrennte Server) [...]
> [...] Das ist natürlich meist mit mehr Aufwand verbunden, klar.
Je nach Anforderung ist das dann aber auch ein Aufwand, den man in Kauf
nehmen solle, richtig.
--
Freundliche Grüße
Uwe Walter
Reply to: