Repository 32bit  Forum
Repository 64bit  Wiki

chroot dei servizi

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

chroot dei servizi

Messaggioda Street41 » ven feb 18, 2005 14:23

Ciao a tutti! Spero che la domanda non sia un pò troppo generica, ma più che altro è una curiosità. Per avere una maggiore sicurezza delle macchine che offrono servizi (es: web o dns), ho sentito che è consigliabile "chiudere" tali servizi in una gabbia. Ora volevo effettivamente sapere, se esiste una procedura "standard" per ogni tipo di servizio, oppure per ogni servizio bisgona fare qualcosa di diverso? Ad esempio, io avevo in mentre di effettuare un chroot di Ssh. In rete però non ho trovato How-to tipo quello pubblicato ieri per Apache, ma ho letto che bisogna utilizzare dei pacchetti o programmi appositi. <BR> <BR>Ciao, Andrea
Street41
Linux 1.0
Linux 1.0
 
Messaggi: 69
Iscritto il: gio dic 25, 2003 0:00

chroot dei servizi

Messaggioda useless » ven feb 18, 2005 14:33

mah guarda, è tanto lavoro per niente secondo me. intanto i bachi + grossi dei vari demoni vengono corretti man mano, basta tenerli tutti aggiornati. la cosa che è + comune runnare in chroot è bind, xké è letteramente ZEPPO di bachi. personalmente preferisco non usarlo direttamente ma sotituirlo con djbdns, dal quale ha solo da imparare. <BR>in ogni caso non credo esista una procedura standard, ma solo delle linee guida generali, che vanno adattate di caso in caso.
Avatar utente
useless
Staff
Staff
 
Messaggi: 3896
Iscritto il: sab ott 11, 2003 23:00
Località: A place where the streets have no name

chroot dei servizi

Messaggioda manny » ven feb 18, 2005 14:41

Non rispondo alla tua domanda perchè non conosco la risposta, ma suggerisco 2 "sciocchezze" per rendere ssh meno "disponibile" ad eventuali cazzoni in giro per internet: <BR> <BR>editare /etc/ssh/sshd_config <BR> <BR>1 mettere no a PermitRootLogin (e togliere il #) cosi che root NON si possa + collegare tramite ssh. <BR>2 aggiungere un utente alla riga AllowUsers, magari un utente che usi solo per questo scopo. <BR> <BR>Ovviamente poi per diventare root, dai su dall´utente che può fare il login...a questo punto, senza chiavi, gabbie chroot, tunnelling di sorta, hai reso la porta di accesso un (bel) pò + sicura. <BR> <BR>Poi ricordati di restartare ssh (/etc/rc.d/rc.sshd restart) <BR>Ciao, <BR>Manny
Avatar utente
manny
Linux 2.4
Linux 2.4
 
Messaggi: 277
Iscritto il: mer ott 29, 2003 0:00
Slackware: 13.1 (fisso)
Kernel: 2.6.33.4
Desktop: kde
Distribuzione: Debian 5 (notebook)

chroot dei servizi

Messaggioda giacxy83 » sab apr 02, 2005 10:20

ciao se vuoi usare una gabbia chroot vai a questi due link : <BR> <BR>http://sicurezza.html.it/articoli/articoli.asp?IdCatArticoli=19&idarticoli=89 <BR>http://sicurezza.html.it/articoli/articoli.asp?IdCatArticoli=19&idarticoli=90 <BR> <BR>sono due articoli in cui spiegato come implementeare un chroot e viene adottato come esempio la messa in piedi di un server cvs con autenticazione ssh all´interno di una gabbia chroot <BR> <BR>spero ti possa essere di aiuto <BR> <BR>io personalmento dopo averlo letto, ho scelto di non utilizzare chroot perche il servizio che dovevo implementare, un server cvs appunto, nella mio specifico caso non correva grandi rischi visto che il server e visto solo da poche macchine di sviluppatori all´interno della intranet.<br>
giacxy83
Linux 1.0
Linux 1.0
 
Messaggi: 10
Iscritto il: gio mar 24, 2005 0:00

chroot dei servizi

Messaggioda tommyblue » gio apr 07, 2005 14:12

non hai trovato guide per chrootare sshd perché non ha molto senso <BR> <BR>mettere in chroot un servizio significa limitare la sua visibilità, tipo se installi apache in <BR>/chroot/apache e lanci <BR># chroot /chroot/apache /bin/httpd <BR>apache parte e per lui la directory /chroot/apache è / quindi se anche un estraneo accede ad apache non riesce a risalire sopra a questa directory! <BR> <BR>se lanci ssh in chroot limiti le possibilità dell´utente che si connette alla chroot stessa! <BR>dato che spesso si usa ssh per usare la macchina o per amministrarla, in chroot è impossibile farlo perché si rimane chiusi nella gabbia<br>
tommyblue
Linux 2.0
Linux 2.0
 
Messaggi: 112
Iscritto il: gio mar 10, 2005 0:00

chroot dei servizi

Messaggioda x-stasi » ven apr 22, 2005 1:50

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE> <BR> 18-02-2005 alle ore 14:23, Street41 : <BR>Ora volevo effettivamente sapere, se esiste una procedura "standard" per ogni tipo di servizio, oppure per ogni servizio bisgona fare qualcosa di diverso? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Una procedura standard non esiste per cause di forza maggiore :) <BR>Comunque io ho avuto dei buoni risultati compilando quei demonucci che volevo ingabbiare con -static e giocando con la variabile DESTDIR del Makefile. <BR>Poi un chroot path/ /bin/exec lo avvia e riposi tranquillo. <BR>Ah, e´ inutile dire che senza protezioni come grsec il chroot e´ utile quanto una bicicletta per un pesce. Aggiungendo 2 byte scarsi di shellcode il chroot si rompe, quindi mi raccomando patcha il kernel :) <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE> <BR> Ad esempio, io avevo in mentre di effettuare un chroot di Ssh. In rete però non ho trovato How-to tipo quello pubblicato ieri per Apache, ma ho letto che bisogna utilizzare dei pacchetti o programmi appositi. <BR> <BR>Ciao, Andrea <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Chrootare SSH come detto prima dal nostro amico non ha piu´ di tanto senso. <BR>Lo ha solo nel caso in cui tu voglia limitare le possibilita´ di un utente, per quello ci sono delle patch in giro, ma non ricordo ne´ il nome ne´ il sito... <BR>Comunque sia per evitare che il primo pirla ti prenda root su ssh con lo 0day del giorno, abilita la privilege separation, torna molto utile :) <BR>Divertiti ;) <BR> <BR>Ciao <BR> <BR>X-Stasi <BR><br>
x-stasi
Linux 1.0
Linux 1.0
 
Messaggi: 2
Iscritto il: gio apr 21, 2005 23:00


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Google [Bot], TurnitinBot [Bot] e 1 ospite