Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » chroot, jail itd - wasze opinie i doświadczenia
#1 2012-08-16 15:14:35
bns - 
unknown
chroot, jail itd - wasze opinie i doświadczenia
Cześć,
zabieram się do wyizolowania użytkownika od systemu i nie wiem jaką drogą najlepiej pójść.
Czy ktoś ma jakieś doświadczenie i mógłby się podzielić za pomocą czego skutecznie i bezproblemowo wyizoluje użytkownika od systemu zostawiając mu tylko potrzebne pliki i katalogi (linkowane z innego miejsca)
chroot, jail, LXC itd czym to ugryźć? :)
Ostatnio edytowany przez bns (2012-08-16 15:17:54)
Offline
#2 2012-08-16 18:23:02
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: chroot, jail itd - wasze opinie i doświadczenia
Chroot jak najbardziej, przyda się Grsecurity, LXC, a najlepiej KVM lub XEN.
Wszystko zależy co to za użytkownik, co potrafi potencjalnie zmalować,
co to za system i jaki sprzęt.
Środków i sposobów, ile duszyczka zapragnie. ;)
;-)
Ostatnio edytowany przez Jacekalex (2012-08-16 18:23:38)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2012-08-16 20:52:45
bns - unknown
Re: chroot, jail itd - wasze opinie i doświadczenia
Jest to serwer wirtualny (vmware) wiec nie chce w nim tworzyć kolejnej wirtualizacji wiec LXC i KVM, XEN itd odpada.
Z założenia chce aby user miał jak najmniej więc po zalogowaniu (ssh, scp) będzie miał dostęp tylko do plików www (linkowany z innego miejsca) logów www dla jego site i koniec. Te same zasoby może miec inny użytkownik ale nie koniecznie (grupa użytkowników)
Konfiguruje selinux więc grsec wydaje mi się nie potrzebne.
Co proponujesz? :)
Offline
#4 2012-08-16 22:04:55
torrentow - Członek Sejmowej Komisji Śledczej
- torrentow
- Członek Sejmowej Komisji Śledczej
- Skąd: z GNU
- Zarejestrowany: 2009-11-23
Re: chroot, jail itd - wasze opinie i doświadczenia
Witam,
Można spróbować:
http://lshell.ghantoos.org/
Pozdrawiam,
Towarzysz Torrentow
Każdy sam sobie szkodzi :)
Offline
#5 2012-08-16 22:05:04
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: chroot, jail itd - wasze opinie i doświadczenia
Selinuxa konfigurujesz?
Wspołczuję, choć na poziomie konsoli nawet działa.
Grsecurity ma opcje "kastrowania" chroota, skuteczne jak diabli, np:
Kod:
~> debroot /dev/sda7 /Debian ext4 rw,noatime,data=ordered 0 0 tmpfs /Debian/var/run tmpfs rw,mand,noatime 0 0 root # whoami root root # ping -f wp.pl ping: icmp open socket: Operation not permitted root #
W dodatku tenże grsecurity ma ACL 2 razy skuteczniejszy i 3 razy prostszy, niż Selinux.
Sznurki:
http://www.gentoo.org/proj/pl/hardened/grsecurity2.xml
http://newbie.linux.pl/wydruk.php?wydruk=108&show=artykul
http://grsecurity.net/gracldoc.htm
http://en.wikibooks.org/wiki/Grsecurity
http://www.gentoo.org/proj/pl/hardened/pax-quickstart.xml
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2012-08-16 22:09:17)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » chroot, jail itd - wasze opinie i doświadczenia