Re: [tecnico@ctis.org: Re: ftp seguro]
On Sun, Jun 15, 2003 at 09:54:50AM +0200, Antonio Castro wrote:
> On Sat, 14 Jun 2003, Fernando M. Maresca wrote:
>
> > ...
> > la estructura de directorio bajo /chroot es donde corre el proceso
> > enjaulado, esa es la jaula. De esta forma, el proceso enjaulado _cree_
> > que /chroot es /, y no puede evitar de ningún(?) modo creerlo. Por
> > tanto, cuando desde dentro de la jaula se hace "cd /" se va a parar a
> > /chroot.
> > Ahora, si alguien logra explotar una vulnerabilidad de BIND pongamos por
> > caso, puede ser que altere cosas dentro de la jaula, pero: tenemos
>
> El chroot es una jaula para un proceso. Por esa razón se puede salir
> de esa jaula buscando una vulnerabilidad no ya en BIND sino en cualquier
> otro servicio.
Hum... No lo dudo. Lo que posiblemente omití decir es que esa máquina
no presta otros servicios. O sea, si mi servidor bind está en una jaula
y decido usar esa misma máquina como servidor de correo pop (dentro o
fuera de la jaula), bueno, eso ya es una decisión del administrador de la red,
que sabrá hasta donde puede comprometer sus servicios. en mí opinión
está loco.
>Hay que advertir que para el intruso estar dentro de una
> jaula chroot ya supone un pequeño avance,
Un gran avance. Pero si por ejemplo ese server loggea en
otro distinto (cosa obligatoria en cualquier sistema serio), ya el intruso va a ir necesitando mas tiempo para alterar los logs y borrar sus huellas, y le da mas posibilidades al admin de percibir su presencia antes; además, es relativamente fácil para el administrador tarrear y copiar la jaula para luego investigar y reponer desde un backup limpio en un rato.
>ya que algunos servicios
> invulnerables desde un acceso remoto serán vulnerables desde un acceso
> local aunque sea desde una jaula chroot.
Si, ok. Pero una cosa es entrar en la jaula y otra distinta salir de
ella, lo que seguramente supondrá hacerse root antes.
>
> En general chroot es una concesión pequeña pero una concesión afin de
> cuentas. Casi cualquier cosa que se conceda ya es algo que un buen
> hacker puede usar para empezar a tirar del hilo y terminar haciendose
> con el control de la máquina.
Seguro, pero me parece (por lo menos mi punto de vista como
administrador es este) que no se trata de esto. Quiero decir que la
máquina segura es la que está apagada, mientras lo está. Yo no tengo
ninguna garantía de que nadie se va a colar en mi DMZ o aún mas adentro,
pero lo que sí tengo que hacer es complicar las cosas de modo tal que le
cueste un huevo; de eso se trata la seguridad, y no solo la de sistemas.
De esa forma, yo tengo mas tiempo para percibirlo y cagarlo.
Posiblemente contesté a algo puntual, no al mas general problema de como
hacer un sitio seguro con múltiples sevicios; no era el objeto del
comentario.
Una cosa mas en este tópico (el de la seguridad): los logs servers de una red son lo mas importante de todo el sistema; todavía nadie ha escrito un programa que excuse al administrador de pasar un buen rato durante cada mañana leyendo logs para enterarse de como va todo, ni chroot ni ninguna otra cosa que yo conozca.
Saludos
>
>
> --
> Un saludo
> Antonio Castro
>
> /\ /\ Ciberdroide Informática
> \\W// << http://www.ciberdroide.com >>
> _|0 0|_
> +-oOOO-(___o___)-OOOo---------------------+
> | . . . . U U . Antonio Castro Snurmacher |
> | . . . . . . . acastro@ciberdroide.com |
> +()()()---------()()()--------------------+
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
--
Fernando M.
Reply to: