Salut R�gis, On 07 Oct 2002 16:47:13 +0200 R�gis Grison <[EMAIL PROTECTED]> wrote: > Dans /etc/init.d/sysklogd (si tu as bien le syslog qui est hors du > chroot et que tu veux que le log prenne en compte ce qui se passe dans > le chroot), remplace : > SYSLOGD="" > par : > SYSLOGD="-m 0 -a /path/to/chroot/dev/log"
merci ca marche nikel :) > De mon c�t� je m'int�resse aux chroots mais pour faire tourner un > service en particulier. J'ai fait un deboostrap pour cr�er le chroot > mais comme je voudrais y faire tourner seulement un service (histoire > qu'en cas d'exploit les autres services soient prot�g�s) j'aimerais y > faire le m�nage (enlever tout ce qui peut �tre un risque dans ce cas), > est-ce que quelqu'un a un tuyau ? > > Toi tu as utilis� debootstrap ou autre chose ? N'ayant pas le linux mag > dont tu parles, j'aimerais bien un r�sum� de la m�thode (juste les > grandes lignes pour avoir une id�e). J'ai effectivement utilis� debootstrap. L'article du linux mag pr�sentait surtout comment installer une debian chroot�e dans le but d'avoir un environnement complet dans le chroot et n'�voquait qu'a la fin les probl�matiques li�es � l'utilisation du chroot pour s�curiser un service. Dans cette partie il �voquait les points suivant : - ne pas monter une partition exterieur au chroot - �viter les programmes chroot�s tournant avec des uid ou des gid existant sur le syst�me principal. Toujours utiliser des uid diff�rents. - r�duire au maximum le nombre de choses install� dans l'environnement chrooter (il ne pr�sise pas quels paquets enlever) notemment les programmes setuid root (l'id�al �tant qu'il n'y en ait pas). - concernant /dev, il presise que seul certains devices sont n�cessaire dans l'environnement chroot�, tel que /dev/null, /dev/zero ou /dev/random selon les programmes qui tournent, les autres doivent pouvoir �tre supprim�s. J'esp�re que cela pourra t'aider. a+ Julien
