On Thu, 12 Dec 2002 11:11:45 CET [EMAIL PROTECTED] wrote: > J'ai lu plusieurs doc du genre comment faire. Elles parlent toutes d'un > chroot avec/sans librairie dynamiques mais sans déplacement. > Quel est le problème de sécurité lié aux librairie dynamiques ?
C'est plutôt une raison pratique dans ce cas, tu n'as pas à copier les librairies dans le chroot. Il y a des exploits spécifiques aux librairies dynamiques (interception d'appels systèmes pour masquer un rootkit avec des librairies remplacées ou des nouvelles en preload), mais dans le cas du chroot ca n'est pas significatif : il n'y a qu'un démon dans le chroot avec les mêmes droits sur tous les binaires et les librairies donc si un cracker a modifié tes librairies il aurait aussi bien pu le faire avec le binaire. La règle de sécurité essentielle avec un chroot est qu'il doit il y avoir le moins de trucs possibles dedans et notamment rien qui puisse donner un accès root même dans le chroot car alors c'est possible d'en sortir : démon qui ne tourne pas en root, pas de binaire suid. > Faut-il chrooter lwres aussi ? Non seulement le démon, il n'y a pas de problème de sécurité lié au client qui n'est pas visible de l'extérieur. > Comment être certain que le bind chrooté est bien chrooté ? #ps -eaf | grep named named 32361 1 0 Dec11 ? 00:00:00 /usr/sbin/named -u named named 32363 32361 0 Dec11 ? 00:00:00 /usr/sbin/named -u named named 32364 32363 0 Dec11 ? 00:01:14 /usr/sbin/named -u named named 32365 32363 0 Dec11 ? 00:00:00 /usr/sbin/named -u named named 32366 32363 0 Dec11 ? 00:00:15 /usr/sbin/named -u named C'est normal que tu ne vois pas le path du binaire dans le chroot ici (et pas le -t pour moi parce que je l'ai lancé avec la commande chroot), c'est la chaîne de caractère construite par l'appel système (argument index 0). Pour vérifier par exemple avec lsof : #lsof -p 32361 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME named 32361 root cwd DIR 22,5 4096 352870 /var/chroot/bind/var/cache/bind named 32361 root rtd DIR 22,5 4096 160425 /var/chroot/bind named 32361 root txt REG 22,5 248680 449620 /var/chroot/bind/usr/sbin/named .... Alain
