Hallo, Namensvetter, Am 29.06.06 schrieb Dirk Finkeldey <[EMAIL PROTECTED]>:
Hast du einen guten link für mich, wo ich nachlesen kann wie man chroot sicher gestalten kann um netzwerkdienst gegen das system so abzu sichern das ein fremdzugriff zumindest erheblich erschwert wird ? Mit freundlichen Grüßen Dirk Finkedley
Leider habe ich so einen Link nicht direkt zur Hand. Einerseits habe ich viel von meinem Sicherheits-bezogenen Wissen aus 'gedruckten Quellen'. Eine m.E. gute Quelle für Sicherheitsparanoiker speziell bei Netzwerkdiensten ist Bauer, Michael: Linux Server Security (O'Reilly) (gibts auch in dt.) (Der Mann schreibt auch eine Columne "The Paranoid Penguin" für das "Linux Journal".) Und andererseits sichere ich nach außen sichtbare Netzwerkdienste unter Linux immer durch was anderes als (nur) eine chroot-Umgebung: Bei mir bekommt jeder derartige Dienst einen eigenen Rechner - und sei es auch nur ein virtueller (bei letzerem habe ich traditionell UML oder Qemu verwendet, demnächst werde ich es mal mit Xen probieren.) Was mir sofort einfällt, wenn ich an ein paar Ausbruchsmöglichkeiten denke, an die ich mich direkt erinnere: Bei einem chroot würde ich beachten: 1. Dienst sollte unbedingt unter einem nicht-"root"-Account laufen oder zumindest nach dem Starten dahin wechseln. 2. Chroot-Umgebung sollte möglichst auf einer mit "nodev" gemouteten Partition liegen (gegen Ausbruch mittels eigens erzeugter dev-Files). 3. Chroot-Umgebung sollte eigene Partition bekommen - oder zumindest auf einer Partition mit möglichst wenig 'Systemzeugs' liegen (gegen Ausbruch mit Hardlinks). Und dann sollte der Rechner allgemein gut gehärtet sein. Ein guter Einstieg dafür direkt für Debian ist m.E. die "Securing Debian HOWTO": http://www.debian.org/doc/manuals/securing-debian-howto/ Wenn Du noch mehr brauchst würde ich auch noch mal gucken Dirk
