Re: CHROOT

To: Lista_Debian_Spanish <debian-user-spanish@lists.debian.org>
Subject: Re: CHROOT
From: "Aritz Beraza Garayalde [Rei]" <aritz.beraza@gmail.com>
Date: Tue, 29 Nov 2005 14:17:28 +0100
Message-id: <[🔎] 83c23c1a0511290517r402587acs@mail.gmail.com>
In-reply-to: <[🔎] 40011.150.214.14.49.1133267399.squirrel@webmail.arrakis.com>
References: <[🔎] 58489.150.214.14.49.1133248208.squirrel@webmail.arrakis.com> <[🔎] 83c23c1a0511290305o186cfee4n@mail.gmail.com> <[🔎] 40011.150.214.14.49.1133267399.squirrel@webmail.arrakis.com>

El 29/11/05, acarrascon<acarrascon@arrakis.es> escribió:
> Kaixo:
>

Nas

> Tiene una respuesta clara... me interesa chrootear diferentes servicios
> como puede ser apache o squid. Si son atacados, evitar una fuga de
> seguridad.
>

Apache ya por seguridad corre como www-data o algo así, no como root,
así que no es tan problemático como parece.

El chroot te tocará hacerlo a mano:
1 creas un directorio donde crearás el nuevo root, replicas la
estructura del arbol de directorios

2 Instalas allí los nuevos programas y sus dependencias (por ejempo,
si usas apache con páginas php, tendrías que poner en el chroot todas
las bibliotecas que usa apache, php, apahce y php en si. Luego en el
normal tendrías que modificar los scripts de arranque para que
ejecuten el apache chrooteado.

La forma fácil dado que vas a ejecutarvarios programas en crear el
directorio nuevo, con debootstrap puedes instalar en el directorio
nuevo un sistema base de debian.

Como uso aplicaciones de todo tipo (openoffice por ejemplo) en el
chroot y me gusta tener por ejemplo mi home de usuario disponible
desde el chroot, ejecuto esto en un script:
mount --bind /tmp "$CHROOTDIR/tmp"
mount --bind /proc "$CHROOTDIR/proc"
mount --bind /etc/passwd "$CHROOTDIR/etc/passwd"
mount --bind /etc/shadow "$CHROOTDIR/etc/shadow"
mount --bind /etc/group "$CHROOTDIR/etc/group"
mount --bind /home "$CHROOTDIR/home"
mount --bind /mnt "$CHROOTDIR/mnt"

como tu lo haces por seguridad, las dos ultimas te sobran, y quizás
tampoco deberías hacer el bind de passwd shadown y group sino copiar
solo tus archivos y dejar los usuarios de apache, y los que usen los
demonios y poco más.

para ejecutar los programas, la forma más sencilla como te he dicho es
dchroot (lo configuras, y desde ese momento solo con dchroot comando
ejecutas el comando en el dchroot).

Saludos
Aritz Beraza [Rei]
--
Aritz Beraza Garayalde [Rei]
___________________________________________
[ WWW ]  http://evangelion.homelinux.net
[jabber]  rei[en]bulmalug.net

Reply to:

References:
- CHROOT
  - From: "acarrascon" <acarrascon@arrakis.es>
- Re: CHROOT
  - From: "Aritz Beraza Garayalde [Rei]" <aritz.beraza@gmail.com>
- Re: CHROOT
  - From: "acarrascon" <acarrascon@arrakis.es>

Prev by Date: Re: Saber que distribución estás usando.
Next by Date: Re: msn y iptables
Previous by thread: Re: CHROOT
Next by thread: Re: CHROOT
Index(es):
- Date
- Thread