chroot dei servizi

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Street41
Linux 0.x
Linux 0.x
Messaggi: 69
Iscritto il: gio 25 dic 2003, 0:00
Contatta:

chroot dei servizi

Messaggio da Street41 »

Ciao a tutti! Spero che la domanda non sia un pò troppo generica, ma più che altro è una curiosità. Per avere una maggiore sicurezza delle macchine che offrono servizi (es: web o dns), ho sentito che è consigliabile "chiudere" tali servizi in una gabbia. Ora volevo effettivamente sapere, se esiste una procedura "standard" per ogni tipo di servizio, oppure per ogni servizio bisgona fare qualcosa di diverso? Ad esempio, io avevo in mentre di effettuare un chroot di Ssh. In rete però non ho trovato How-to tipo quello pubblicato ieri per Apache, ma ho letto che bisogna utilizzare dei pacchetti o programmi appositi.
<BR>
<BR>Ciao, Andrea

Avatar utente
useless
Staff
Staff
Messaggi: 3896
Iscritto il: dom 12 ott 2003, 0:00
Località: A place where the streets have no name
Contatta:

chroot dei servizi

Messaggio da useless »

mah guarda, è tanto lavoro per niente secondo me. intanto i bachi + grossi dei vari demoni vengono corretti man mano, basta tenerli tutti aggiornati. la cosa che è + comune runnare in chroot è bind, xké è letteramente ZEPPO di bachi. personalmente preferisco non usarlo direttamente ma sotituirlo con djbdns, dal quale ha solo da imparare.
<BR>in ogni caso non credo esista una procedura standard, ma solo delle linee guida generali, che vanno adattate di caso in caso.

Avatar utente
manny
Linux 2.x
Linux 2.x
Messaggi: 278
Iscritto il: mer 29 ott 2003, 0:00
Slackware: 13.1 (fisso)
Kernel: 2.6.33.4
Desktop: kde
Distribuzione: Debian 5 (notebook)

chroot dei servizi

Messaggio da manny »

Non rispondo alla tua domanda perchè non conosco la risposta, ma suggerisco 2 "sciocchezze" per rendere ssh meno "disponibile" ad eventuali cazzoni in giro per internet:
<BR>
<BR>editare /etc/ssh/sshd_config
<BR>
<BR>1 mettere no a PermitRootLogin (e togliere il #) cosi che root NON si possa + collegare tramite ssh.
<BR>2 aggiungere un utente alla riga AllowUsers, magari un utente che usi solo per questo scopo.
<BR>
<BR>Ovviamente poi per diventare root, dai su dall´utente che può fare il login...a questo punto, senza chiavi, gabbie chroot, tunnelling di sorta, hai reso la porta di accesso un (bel) pò + sicura.
<BR>
<BR>Poi ricordati di restartare ssh (/etc/rc.d/rc.sshd restart)
<BR>Ciao,
<BR>Manny

giacxy83
Linux 0.x
Linux 0.x
Messaggi: 10
Iscritto il: gio 24 mar 2005, 0:00
Contatta:

chroot dei servizi

Messaggio da giacxy83 »

ciao se vuoi usare una gabbia chroot vai a questi due link :
<BR>
<BR>http://sicurezza.html.it/articoli/artic ... rticoli=89
<BR>http://sicurezza.html.it/articoli/artic ... rticoli=90
<BR>
<BR>sono due articoli in cui spiegato come implementeare un chroot e viene adottato come esempio la messa in piedi di un server cvs con autenticazione ssh all´interno di una gabbia chroot
<BR>
<BR>spero ti possa essere di aiuto
<BR>
<BR>io personalmento dopo averlo letto, ho scelto di non utilizzare chroot perche il servizio che dovevo implementare, un server cvs appunto, nella mio specifico caso non correva grandi rischi visto che il server e visto solo da poche macchine di sviluppatori all´interno della intranet.<br>

tommyblue
Linux 1.x
Linux 1.x
Messaggi: 112
Iscritto il: gio 10 mar 2005, 0:00
Contatta:

chroot dei servizi

Messaggio da tommyblue »

non hai trovato guide per chrootare sshd perché non ha molto senso
<BR>
<BR>mettere in chroot un servizio significa limitare la sua visibilità, tipo se installi apache in
<BR>/chroot/apache e lanci
<BR># chroot /chroot/apache /bin/httpd
<BR>apache parte e per lui la directory /chroot/apache è / quindi se anche un estraneo accede ad apache non riesce a risalire sopra a questa directory!
<BR>
<BR>se lanci ssh in chroot limiti le possibilità dell´utente che si connette alla chroot stessa!
<BR>dato che spesso si usa ssh per usare la macchina o per amministrarla, in chroot è impossibile farlo perché si rimane chiusi nella gabbia<br>

x-stasi
Linux 0.x
Linux 0.x
Messaggi: 2
Iscritto il: ven 22 apr 2005, 0:00

chroot dei servizi

Messaggio da x-stasi »

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
<BR> 18-02-2005 alle ore 14:23, Street41 :
<BR>Ora volevo effettivamente sapere, se esiste una procedura "standard" per ogni tipo di servizio, oppure per ogni servizio bisgona fare qualcosa di diverso?
<BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
<BR>
<BR>Una procedura standard non esiste per cause di forza maggiore :)
<BR>Comunque io ho avuto dei buoni risultati compilando quei demonucci che volevo ingabbiare con -static e giocando con la variabile DESTDIR del Makefile.
<BR>Poi un chroot path/ /bin/exec lo avvia e riposi tranquillo.
<BR>Ah, e´ inutile dire che senza protezioni come grsec il chroot e´ utile quanto una bicicletta per un pesce. Aggiungendo 2 byte scarsi di shellcode il chroot si rompe, quindi mi raccomando patcha il kernel :)
<BR>
<BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
<BR> Ad esempio, io avevo in mentre di effettuare un chroot di Ssh. In rete però non ho trovato How-to tipo quello pubblicato ieri per Apache, ma ho letto che bisogna utilizzare dei pacchetti o programmi appositi.
<BR>
<BR>Ciao, Andrea
<BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
<BR>Chrootare SSH come detto prima dal nostro amico non ha piu´ di tanto senso.
<BR>Lo ha solo nel caso in cui tu voglia limitare le possibilita´ di un utente, per quello ci sono delle patch in giro, ma non ricordo ne´ il nome ne´ il sito...
<BR>Comunque sia per evitare che il primo pirla ti prenda root su ssh con lo 0day del giorno, abilita la privilege separation, torna molto utile :)
<BR>Divertiti ;)
<BR>
<BR>Ciao
<BR>
<BR>X-Stasi
<BR><br>

Rispondi