On Thu, 12 Dec 2002 11:11:45 CET [EMAIL PROTECTED] wrote: > J'ai lu plusieurs doc du genre comment faire. Elles parlent toutes d'un > chroot avec/sans librairie dynamiques mais sans d�placement. > Quel est le probl�me de s�curit� li� aux librairie dynamiques ?
C'est plut�t une raison pratique dans ce cas, tu n'as pas � copier les librairies dans le chroot. Il y a des exploits sp�cifiques aux librairies dynamiques (interception d'appels syst�mes pour masquer un rootkit avec des librairies remplac�es ou des nouvelles en preload), mais dans le cas du chroot ca n'est pas significatif : il n'y a qu'un d�mon dans le chroot avec les m�mes droits sur tous les binaires et les librairies donc si un cracker a modifi� tes librairies il aurait aussi bien pu le faire avec le binaire. La r�gle de s�curit� essentielle avec un chroot est qu'il doit il y avoir le moins de trucs possibles dedans et notamment rien qui puisse donner un acc�s root m�me dans le chroot car alors c'est possible d'en sortir : d�mon qui ne tourne pas en root, pas de binaire suid. > Faut-il chrooter lwres aussi ? Non seulement le d�mon, il n'y a pas de probl�me de s�curit� li� au client qui n'est pas visible de l'ext�rieur. > Comment �tre certain que le bind chroot� est bien chroot� ? #ps -eaf | grep named named 32361 1 0 Dec11 ? 00:00:00 /usr/sbin/named -u named named 32363 32361 0 Dec11 ? 00:00:00 /usr/sbin/named -u named named 32364 32363 0 Dec11 ? 00:01:14 /usr/sbin/named -u named named 32365 32363 0 Dec11 ? 00:00:00 /usr/sbin/named -u named named 32366 32363 0 Dec11 ? 00:00:15 /usr/sbin/named -u named C'est normal que tu ne vois pas le path du binaire dans le chroot ici (et pas le -t pour moi parce que je l'ai lanc� avec la commande chroot), c'est la cha�ne de caract�re construite par l'appel syst�me (argument index 0). Pour v�rifier par exemple avec lsof : #lsof -p 32361 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME named 32361 root cwd DIR 22,5 4096 352870 /var/chroot/bind/var/cache/bind named 32361 root rtd DIR 22,5 4096 160425 /var/chroot/bind named 32361 root txt REG 22,5 248680 449620 /var/chroot/bind/usr/sbin/named .... Alain
