[tecnico@ctis.org: Re: ftp seguro]
>Podrias explicar un poco que es el ambiente chroot? y la jaulta chroot?
>Lo agradeceremos todos, gracias.
Bueno, como tópico puede ser bastante extenso; puedo dar una idea acerca
de esto, pero no voy a explicar detalladamente como hacer una ambiente
chroot.
la jaula chroot es un truco que se hace en el servidor para protegerlo
de ciertos ataques que podrían terminar enajenando el server.
Ciertos servicios, notablemente fpt y bind, tmbién sendmail, son
célebres por haber tenido vulnerabilidades que han permitido a ciertos
usuarios adquirir privilegios en el server y adueñarse de la máquina o
usar su ancho de banda y otros recursos (repositorios de porno y mp3,
etc.)
La idea de una jaula chroot consiste en hacerle creer a un proceso
cualquiera (BIND, ProFtp) que el subdirectorio donde se encuentra es el
directorio /. En otras palabras: se crea un subdirectorio en cualquier
parte del árbol, por ejemplo /chroot; ahí adentro se copian los archivos
y directorios necesarios para que el proceso pueda ejecutarse, entonces
queda algo así:
/
/bin
/boot
/chroot
/bin
/etc
/lib
/sbin
/usr
/var
/tmp
/etc
/dev
/home
...
Y dentro de cada uno de esos directorios hay que copiar los archivos,
binarios y librerías necesarios para que el servidor se ejecute.
la estructura de directorio bajo /chroot es donde corre el proceso
enjaulado, esa es la jaula. De esta forma, el proceso enjaulado _cree_
que /chroot es /, y no puede evitar de ningún(?) modo creerlo. Por
tanto, cuando desde dentro de la jaula se hace "cd /" se va a parar a
/chroot.
Ahora, si alguien logra explotar una vulnerabilidad de BIND pongamos por
caso, puede ser que altere cosas dentro de la jaula, pero: tenemos
seguridad en el resto de nuestro server, podemos controlarlo mas
fácilmente, y en el último de los casos una jaula chroot se puede
reponer desde un backup en minutos.
Casi cualquier server ftp en el que hayas entrado para bajarte o subirte
algo seguramente ese server estaría ejecutándose en una jaula.
Espero te haya servido de algo esta breve y posiblemente inexacta
explicación.
En www.linuxdoc.org, como dije antes, hay buenas howtos sobre este tema,
que son de lectura obligatoria para hacer una cosa así, ya que si esta
teoría es bien simple, en la práctica seguramente no lo será tanto.
Saludos, Fernando
----- Original Message -----
From: "Fernando M. Maresca" <fmaresca@speedy.com.ar>
To: <debian-user-spanish@lists.debian.org>
Sent: Saturday, June 14, 2003 7:11 AM
Subject: Re: ftp seguro
> On Sat, Jun 14, 2003 at 01:50:07AM -0300, Roberto Coria wrote:
> > Hola chicos!!!
> >
> > Tengo un debian en producción y varias páginas que mis clientes tendrán
> > que actualizar periódicamente. Todos ellos usan winchot con frontpage...
> > bahhh la mayoría. Mis clientes están ya avisados que no queremos, ni
> > tenemos, ni vamos a tener las extensiones del frontpage instaladas en el
> > apache2.
> >
> > Que servicio seguro de ftp podría usar para que puedan actualizar sus
> > páginas.
>
> Man, si vas a abrir un ftp a internet, yo que vos voy pensando en una
> jaula chroot.
> Acá hay un artículo:
> http://www.linuxhq.com/ldp/howto/mini/FTP-6.html
> Fijate que en linuxdoc había una howto de como armar una ambiente chroot
> para poner DNS, FTP, etc.
> Ahora, si tus clientes están en tu red y no necesitás abrir el puerto
> ftp para afuera, entonces lo mas recomendable es que lo metas en una
> jaula chroot ;-)
>
> Saludos, Fernando
>
> >Mi woody tiene un servidor ssh para trabajos de mantenimiento a
> > distancia. Conocen algún sftp que corra bajo winchot y lo reconozca
> > frontpage, o en su defecto que debería ofrecerles para que ellos usen???
> >
> > Gracias por vuestro tiempo.
> >
> > Un saludo a todos. Roberto Coria.
> >
> >
> > --
> > To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
>
> --
>
> Fernando M.
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
----- End forwarded message -----
--
Fernando M.
Reply to: