Pagina 1 di 1

chroot dei servizi

Inviato: ven 18 feb 2005, 14:23
da Street41
Ciao a tutti! Spero che la domanda non sia un pò troppo generica, ma più che altro è una curiosità. Per avere una maggiore sicurezza delle macchine che offrono servizi (es: web o dns), ho sentito che è consigliabile "chiudere" tali servizi in una gabbia. Ora volevo effettivamente sapere, se esiste una procedura "standard" per ogni tipo di servizio, oppure per ogni servizio bisgona fare qualcosa di diverso? Ad esempio, io avevo in mentre di effettuare un chroot di Ssh. In rete però non ho trovato How-to tipo quello pubblicato ieri per Apache, ma ho letto che bisogna utilizzare dei pacchetti o programmi appositi.
<BR>
<BR>Ciao, Andrea

chroot dei servizi

Inviato: ven 18 feb 2005, 14:33
da useless
mah guarda, è tanto lavoro per niente secondo me. intanto i bachi + grossi dei vari demoni vengono corretti man mano, basta tenerli tutti aggiornati. la cosa che è + comune runnare in chroot è bind, xké è letteramente ZEPPO di bachi. personalmente preferisco non usarlo direttamente ma sotituirlo con djbdns, dal quale ha solo da imparare.
<BR>in ogni caso non credo esista una procedura standard, ma solo delle linee guida generali, che vanno adattate di caso in caso.

chroot dei servizi

Inviato: ven 18 feb 2005, 14:41
da manny
Non rispondo alla tua domanda perchè non conosco la risposta, ma suggerisco 2 "sciocchezze" per rendere ssh meno "disponibile" ad eventuali cazzoni in giro per internet:
<BR>
<BR>editare /etc/ssh/sshd_config
<BR>
<BR>1 mettere no a PermitRootLogin (e togliere il #) cosi che root NON si possa + collegare tramite ssh.
<BR>2 aggiungere un utente alla riga AllowUsers, magari un utente che usi solo per questo scopo.
<BR>
<BR>Ovviamente poi per diventare root, dai su dall´utente che può fare il login...a questo punto, senza chiavi, gabbie chroot, tunnelling di sorta, hai reso la porta di accesso un (bel) pò + sicura.
<BR>
<BR>Poi ricordati di restartare ssh (/etc/rc.d/rc.sshd restart)
<BR>Ciao,
<BR>Manny

chroot dei servizi

Inviato: sab 2 apr 2005, 11:20
da giacxy83
ciao se vuoi usare una gabbia chroot vai a questi due link :
<BR>
<BR>http://sicurezza.html.it/articoli/artic ... rticoli=89
<BR>http://sicurezza.html.it/articoli/artic ... rticoli=90
<BR>
<BR>sono due articoli in cui spiegato come implementeare un chroot e viene adottato come esempio la messa in piedi di un server cvs con autenticazione ssh all´interno di una gabbia chroot
<BR>
<BR>spero ti possa essere di aiuto
<BR>
<BR>io personalmento dopo averlo letto, ho scelto di non utilizzare chroot perche il servizio che dovevo implementare, un server cvs appunto, nella mio specifico caso non correva grandi rischi visto che il server e visto solo da poche macchine di sviluppatori all´interno della intranet.<br>

chroot dei servizi

Inviato: gio 7 apr 2005, 15:12
da tommyblue
non hai trovato guide per chrootare sshd perché non ha molto senso
<BR>
<BR>mettere in chroot un servizio significa limitare la sua visibilità, tipo se installi apache in
<BR>/chroot/apache e lanci
<BR># chroot /chroot/apache /bin/httpd
<BR>apache parte e per lui la directory /chroot/apache è / quindi se anche un estraneo accede ad apache non riesce a risalire sopra a questa directory!
<BR>
<BR>se lanci ssh in chroot limiti le possibilità dell´utente che si connette alla chroot stessa!
<BR>dato che spesso si usa ssh per usare la macchina o per amministrarla, in chroot è impossibile farlo perché si rimane chiusi nella gabbia<br>

chroot dei servizi

Inviato: ven 22 apr 2005, 2:50
da x-stasi
<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
<BR> 18-02-2005 alle ore 14:23, Street41 :
<BR>Ora volevo effettivamente sapere, se esiste una procedura "standard" per ogni tipo di servizio, oppure per ogni servizio bisgona fare qualcosa di diverso?
<BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
<BR>
<BR>Una procedura standard non esiste per cause di forza maggiore :)
<BR>Comunque io ho avuto dei buoni risultati compilando quei demonucci che volevo ingabbiare con -static e giocando con la variabile DESTDIR del Makefile.
<BR>Poi un chroot path/ /bin/exec lo avvia e riposi tranquillo.
<BR>Ah, e´ inutile dire che senza protezioni come grsec il chroot e´ utile quanto una bicicletta per un pesce. Aggiungendo 2 byte scarsi di shellcode il chroot si rompe, quindi mi raccomando patcha il kernel :)
<BR>
<BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
<BR> Ad esempio, io avevo in mentre di effettuare un chroot di Ssh. In rete però non ho trovato How-to tipo quello pubblicato ieri per Apache, ma ho letto che bisogna utilizzare dei pacchetti o programmi appositi.
<BR>
<BR>Ciao, Andrea
<BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
<BR>Chrootare SSH come detto prima dal nostro amico non ha piu´ di tanto senso.
<BR>Lo ha solo nel caso in cui tu voglia limitare le possibilita´ di un utente, per quello ci sono delle patch in giro, ma non ricordo ne´ il nome ne´ il sito...
<BR>Comunque sia per evitare che il primo pirla ti prenda root su ssh con lo 0day del giorno, abilita la privilege separation, torna molto utile :)
<BR>Divertiti ;)
<BR>
<BR>Ciao
<BR>
<BR>X-Stasi
<BR><br>