Uwe Walter:
> Am Freitag, den 04.07.2008, 19:58 +0200 schrieb Jochen Schulz:
>> Uwe Walter:
>
>> IMHO ist ein chroot damit nicht wesentlich besser als vernünftige
>> Permissions bzw. ACLs.
>
> Du sprichst hier auf die Dateisystem-Attribute (lsattr/chattr) an,
Ja, und an SELinux.
> oder
> eher die libpcap? Für letzteres hier noch einen nützlichen Artikel.
>
> http://www.linux-magazin.de/heft_abo/ausgaben/2008/06/gruenes_licht_fuer_pcaps?category=354
Danke dafür.
>> Es ist nur dazu geeignet, innerhalb des chroot
>> eine eventuell geringere Angriffsfläche (für local root exploits) zu
>> schaffen, als es das komplette System tut.
>
> Oftmals hilft das natürlich schon, die "unfähigen" Angreifer in ihre
> Schranken zu weisen.
ACK, daher auch mein leichtes Zurückrudern. Chroots sind nett, wenn sie
vorkonfiguriert daherkommen (wie bei Debians Postfix) und keine Probleme
verursachen. Selbst ein Programm in ein chroot zu stecken ist aber IMHO
selten der Mühe wert.
J.
--
There is no justice in road accidents.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature