Rudolf Weeber schrieb: > Hi, > On Mon, May 15, 2006 at 10:45:01PM +0200, Simon Brandmair wrote: > > Ich konnte mich jetzt endlich dazu aufraffen, einen paar Serverprogis in > > ein chroot-Gefängnis einzusperren (mit makejail und chrootuid). > > > > Soweit ich das jetzt blicke, besteht doch damit ein potentielles > > Sicherheitsrisiko, _falls_ ich die Dateien im Gefängnis nicht > > aktualisere. Dann liefe doch der Server mit veraltetem (und damit u.U. > > unsicheren) Bibliotheken, Binaries, etc. > > > > Wie stellt ihr sicher, dass das chroot-Gefängnis aktuell ist? Nach jedem > > aptitude update eine makejail laufen zu lassen, finde ich ein bißchen > > übertrieben. Ich dachte eher an ein Skript, welches /var/chroot/* > > durchstöbert und mit dem echten / vergleicht. > Ich wuerde versuchen, das Chroot als komplettes Debiansystem zu > installieren (mit debootstrap). > Ich habe debootstrap zwar bisher nur benutzt, um neue Systeme > vorzubereten, aber mir ist kein Grund bekannt, warum man das nicht auf > Dauer als chroot betreiben sollen koennte. > Eine Anleitung fuer eine entsprechende Installation findest Du im > grossen ganzen im Debian-Installations-Handbuch (wenn ich mich recht > erinnere.) > > Gruesse, Rudolf
Das Aufsetzen eines eigenen "chroot"-System für Serverdienste ist eine keine schlechte Idee - und es geht genauso wie bei der Installation eines neuen Systems mit "debootstrap". Das ist z.B. im Debian-Installations- Handbuch beschrieben -z.B. http://www.debian.org/releases/stable/i386/apcs04.html.de Man startet einfach mit dem "debootstrap"-Schritt und nimt statt dem Mountpoint das Verzeichnis <chroot dir>, unterhalb von dem das "chroot"-Zeugs landen soll: debootstrap --resolve-deps <debian version> <chroot dir> <deb spiegel>/debian Man kann das "chroot"-System noch etwas kleiner machen indem man die Paketauswahl von "debootstrap" anpasst. Ich installiere z.B. immer nur die "Essential"-DEBs + debconf + mawk + apt + gnupg. Noch besser m.E.: Man sperrt Serverdienste in eine virtuelle DMZ ein. Dazu gibt's wieder zig Möglichkeiten (Qemu, Vmware, Xen, UML, ...). Dirk _______________________________________________________________ SMS schreiben mit WEB.DE FreeMail - einfach, schnell und kostenguenstig. Jetzt gleich testen! http://f.web.de/?mc=021192
