Bind9 in chroot [Risolto]

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Dani
Linux 4.x
Linux 4.x
Messaggi: 1447
Iscritto il: mer 26 apr 2006, 1:52
Desktop: gnome
Distribuzione: arch

Bind9 in chroot [Risolto]

Messaggio da Dani »

Ho seguito questa guida -> http://www.pluto.it/files/ildp/HOWTO/Ch ... HOWTO.html ma bind non mi parte :(
Ho sostituito in rc.bind i vari "/usr/sbin/named" con "/usr/sbin/named -u proxy -t /home/chroot/named -c /etc/named.conf"

Ma quando avvio lo script:

Codice: Seleziona tutto

root[named]# /etc/rc.d/rc.bind start
Avvio BIND.
ATTENZIONE: Named non è avviato. Questo perchè
il modulo "capability" richiesto dai nuovi kernel
non è caricato (o è statico nel kernel)?
Caricamento modulo capability:
/sbin/modprobe capability
FATAL: Module capability not found.
Avvio nuovamente Named.
FALLITO: dopo aver caricato il modulo "capability",
Named non è stato avviato.
Questo potrebbe essere dovuto ad un errore di configurazione
che bisogna correggere. Buona fortuna!
Che posso fare ?
Ultima modifica di Dani il mar 18 set 2007, 23:21, modificato 1 volta in totale.

Avatar utente
manolo
Linux 2.x
Linux 2.x
Messaggi: 282
Iscritto il: gio 26 mag 2005, 0:00
Desktop: kde

Messaggio da manolo »

Hai compilato tu il kernel? In caso di risposta affermativa temo ti tocchi ricompilarlo aggiungendo il modulo richiesto.
Ciao

Dani
Linux 4.x
Linux 4.x
Messaggi: 1447
Iscritto il: mer 26 apr 2006, 1:52
Desktop: gnome
Distribuzione: arch

Messaggio da Dani »

E perchè se avvio bind normalmente, senza chroot intendo, parte tranquillamente ?

Avatar utente
manolo
Linux 2.x
Linux 2.x
Messaggi: 282
Iscritto il: gio 26 mag 2005, 0:00
Desktop: kde

Messaggio da manolo »

Controlla gli script allora...

Dani
Linux 4.x
Linux 4.x
Messaggi: 1447
Iscritto il: mer 26 apr 2006, 1:52
Desktop: gnome
Distribuzione: arch

Messaggio da Dani »

Quello di avvio di bind funziona se tolgo il "-u proxy -t /home/chroot/named -c /etc/named.conf" :D
Ho visto che c'è anche l'howto su slacky ma è molto piu' laborioso ! :roll:

Avatar utente
Luci0
Staff
Staff
Messaggi: 3591
Iscritto il: lun 27 giu 2005, 0:00
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce
Località: Forte dei Marmi
Contatta:

Messaggio da Luci0 »

Sembra che non riesca a trovare un modulo, prova a copiare il modulo mancante dalla root del kernel all' equivalente nella chroot :-)

Dani
Linux 4.x
Linux 4.x
Messaggi: 1447
Iscritto il: mer 26 apr 2006, 1:52
Desktop: gnome
Distribuzione: arch

Messaggio da Dani »

Ok, provero'.
La cosa strana è che pero' ora ho avviato bind "normalmente", senza chroot e...

Codice: Seleziona tutto

dani[~]$ lsmod
Module                  Size  Used by
nvidia               6817044  32
dani[~]$

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Messaggio da masalapianta »

Dani ha scritto:E perchè se avvio bind normalmente, senza chroot intendo, parte tranquillamente ?
perche' droppare alcuni privilegi ha senso se fai girare un processo con euid 0 in ambiente chroot, ad esempio inibisci l'uso della chroot() stessa (in modo tale che il processo non possa usarla per uscire dalla jail) e di un sacco di altre cose che permetterebbero al processo di rendere vana la jail; difatti se named viene lanciato con euid != 0 non fa uso della SYS_capset().
Come sempre la miglior documentazione e' il codice ;) (quando non e' scritto coi piedi ovviamente :lol: ) spesso per risolvere un problema spulciando documenti puoi impiegare decine di minuti a trovare quel che cerchi, mentre con due botte di grep e una letta a qualche riga di codice risolvi tutto in 30 secondi

Dani
Linux 4.x
Linux 4.x
Messaggi: 1447
Iscritto il: mer 26 apr 2006, 1:52
Desktop: gnome
Distribuzione: arch

Messaggio da Dani »

Si ma per capire il codice di un programma come bind9 ancora ne devo fare di strada :oops:

Dani
Linux 4.x
Linux 4.x
Messaggi: 1447
Iscritto il: mer 26 apr 2006, 1:52
Desktop: gnome
Distribuzione: arch

Messaggio da Dani »

Il modulo capability non c'entrava, era lo script di avvio di bind9 che stampava quel messaggio nel caso in cui tra i processi (ps aux) non risultava named.
Quando l'avvio di named fallisce, non viene scritto nulla su stdout/stderr ma su syslog ! Quindi bastava controllare lì.
Nel mio caso c'erano due errori fatali, permessi insufficienti e rndc.key non presente nella directory etc della finta root.

Bisogna avere (almeno dalle mie parti :-)) una cosa del genere:

Codice: Seleziona tutto

root[~]# ls -l /home/chroot/*
/home/chroot/dev:
totale 0
crw-rw-rw- 1 root root 1, 3 2007-09-17 16:34 null
crw-rw-rw- 1 root root 1, 8 2007-09-17 16:34 random

/home/chroot/etc:
totale 12
-rw-r--r-- 1 root  root  2652 2007-09-17 16:35 localtime
-rw-r--r-- 1 root  root   679 2007-09-17 16:32 named.conf
-rw------- 1 named named   77 2007-09-17 16:32 rndc.key

/home/chroot/var:
totale 8
drwxr-xr-x 3 root root 4096 2007-09-17 16:33 named
drwxr-xr-x 3 root root 4096 2007-09-17 16:37 run
Dunque risolto ! :p

Rispondi