Re: [tecnico@ctis.org: Re: ftp seguro]
Bueno he leido un poco sobre el tema, y creo que voy entendiendo, pero de
que depende el poder poner un proceso en una jaula, de la programacion del
proceso?? esto no lo tengo muy claro.
Imaginemos que se monta un ftp en una jaula para actualizar pagina en el
servidor, tambien apache deberia correr en la misma jaula??
Gracias de antemano.
----- Original Message -----
From: "Fernando M. Maresca" <fmaresca@speedy.com.ar>
To: <debian-user-spanish@lists.debian.org>
Sent: Saturday, June 14, 2003 6:22 PM
Subject: [tecnico@ctis.org: Re: ftp seguro]
>
>
> >Podrias explicar un poco que es el ambiente chroot? y la jaulta chroot?
>
> >Lo agradeceremos todos, gracias.
>
> Bueno, como tópico puede ser bastante extenso; puedo dar una idea acerca
> de esto, pero no voy a explicar detalladamente como hacer una ambiente
> chroot.
> la jaula chroot es un truco que se hace en el servidor para protegerlo
> de ciertos ataques que podrían terminar enajenando el server.
> Ciertos servicios, notablemente fpt y bind, tmbién sendmail, son
> célebres por haber tenido vulnerabilidades que han permitido a ciertos
> usuarios adquirir privilegios en el server y adueñarse de la máquina o
> usar su ancho de banda y otros recursos (repositorios de porno y mp3,
> etc.)
> La idea de una jaula chroot consiste en hacerle creer a un proceso
> cualquiera (BIND, ProFtp) que el subdirectorio donde se encuentra es el
> directorio /. En otras palabras: se crea un subdirectorio en cualquier
> parte del árbol, por ejemplo /chroot; ahí adentro se copian los archivos
> y directorios necesarios para que el proceso pueda ejecutarse, entonces
> queda algo así:
> /
> /bin
> /boot
> /chroot
> /bin
> /etc
> /lib
> /sbin
> /usr
> /var
> /tmp
> /etc
> /dev
> /home
> ...
> Y dentro de cada uno de esos directorios hay que copiar los archivos,
> binarios y librerías necesarios para que el servidor se ejecute.
> la estructura de directorio bajo /chroot es donde corre el proceso
> enjaulado, esa es la jaula. De esta forma, el proceso enjaulado _cree_
> que /chroot es /, y no puede evitar de ningún(?) modo creerlo. Por
> tanto, cuando desde dentro de la jaula se hace "cd /" se va a parar a
> /chroot.
> Ahora, si alguien logra explotar una vulnerabilidad de BIND pongamos por
> caso, puede ser que altere cosas dentro de la jaula, pero: tenemos
> seguridad en el resto de nuestro server, podemos controlarlo mas
> fácilmente, y en el último de los casos una jaula chroot se puede
> reponer desde un backup en minutos.
> Casi cualquier server ftp en el que hayas entrado para bajarte o subirte
> algo seguramente ese server estaría ejecutándose en una jaula.
> Espero te haya servido de algo esta breve y posiblemente inexacta
> explicación.
> En www.linuxdoc.org, como dije antes, hay buenas howtos sobre este tema,
> que son de lectura obligatoria para hacer una cosa así, ya que si esta
> teoría es bien simple, en la práctica seguramente no lo será tanto.
>
> Saludos, Fernando
>
Reply to: