Re: enjaulando servicios
El 13/02/06, avisx<srmojo@gmail.com> escribió:
> hola lista!!!
>
> he estado mirando la manera de enjaular todos mis servicios en un chroot.
> he estado leyendo mucho acerca de como hacer ssh, y demas..
>
> pero mi idea era mas compleja, queria montar un sistema a parte de la base.
>
> lo primero era tener un sistema estable en la maquina y lo justo para
> poder trabajar, osea cd de netinstall sin exim y poco mas, lo que deja
> la netinstall mas ssh, mc y creo que ya esta, eso si, solo tengo una
> tarjeta de red pero hizo tener dos configuraciones, dos ips distintas
> a las k le llegan ping desde el router asi expongo solo la ip
> "ficticia" con los puertos necesarios, mas tarde digo que servicios
> son.
>
> entonces mi idea fue crear un entorno chroot.
>
> mkdir /chroot_system
>
> y copie toda la raiz del sistema estable a /chroot_system excepto /proc
>
> entonces entre en el chroot , chroot /chroot_system
>
> y me puse a instalar apt-get install apache2 php4 vsftpd mysql
> phpmyadmin, luego retoque y todo ok.
>
> retoque puerto de ssh y configuraciones de los servicios, asi de un
> tiron lo tenia todo.
>
> luego cree en el estable un fichero llamado chroot_system y contenia
> lo siguiente
>
> chroot /chroot_system /etc/init.d/apache2 start
> chroot /chroot_system /etc/init.d/ssh start
> chroot /chroot_system /etc/init.d/exim4 start
> chroot /chroot_system /etc/init.d/mysql start
>
> ya modificare alguno y lo pondre con funcion stop, start, restart,
> esto son pruebas...
aki dejo el /etc/init.d/system_chroot, que inicia, para o reincia los
servicios en el chroot
#! /bin/sh
set -e
export PATH="${PATH:+$PATH:}/usr/sbin:/sbin"
case "$1" in
start)
echo "iniciando servicios con chroot"
chroot /chroot_system /etc/init.d/apache2 start
chroot /chroot_system /etc/init.d/ssh start
chroot /chroot_system /etc/init.d/exim4 start
chroot /chroot_system /etc/init.d/mysql start
chroot /chroot_system /etc/init.d/vsftpd start
echo "ok"
;;
stop)
echo "parando servicios con chroot"
chroot /chroot_system /etc/init.d/apache2 stop
chroot /chroot_system /etc/init.d/ssh stop
chroot /chroot_system /etc/init.d/exim4 stop
chroot /chroot_system /etc/init.d/mysql stop
chroot /chroot_system /etc/init.d/vsftpd stop
echo "ok"
;;
restart)
echo "reiniciando servicios con chroot"
chroot /chroot_system /etc/init.d/apache2 restart
chroot /chroot_system /etc/init.d/ssh restart
chroot /chroot_system /etc/init.d/exim4 restart
chroot /chroot_system /etc/init.d/mysql restart
chroot /chroot_system /etc/init.d/vsftpd restart
echo "ok"
;;
*)
echo "Usage: /etc/init.d/system_chroot {start|stop|restart}"
exit 1
esac
exit 0
>
> entonces ahora que corren todos los servicios bien, todo ok, pues va a
> ser que no, pensemos que no tiene proc y comandos tipo netstat, ps, y
> seguro que mas no funcionan bien, pero es un sistema mas seguro. el
> log y demas (acepto sugerencias)
>
> ya queria yo llegar ya a la seguridad, siento por el toston que estais
> leyendo, :P , seguimos, este sistema en caso de llegar por consola,
> http,ftp y mysql podrian destruir el sistema estable o ponerse a jugar
> a ser dios?
>
> como podria hacer para que el sistema corriera mas seguro?? me
> explico, en el sistema chroot existen muchos ficheros del otro
> sistema, por ejemplo /etc/passwd /etc/shadow y demas como podria hacer
> para solo tener lo justo y necesario? que comandos tendriamos que
> quitar para que nadie fuera dios?
>
> por ejemplo en el sistema chroot podria poner una version de debian
> testing , y seguir corriendo todo igual, base stable, chroot testing,
> no? (seria luego crear un script para actualizar los dos sistemas a la
> vez uno por un lado y otro por otro)
>
> bueno hasta aqui las dudas que tengo, espero que alguien con
> experiencia en tema de chroot me diera consejo, por supuesto acepto
> sugerencias de todo tipo hasta para irme al carajo, jejejjeje, un
> saludo listeros!
>
Reply to: