El 29/11/05, acarrascon<[EMAIL PROTECTED]> escribió: > Kaixo: >
Nas > Tiene una respuesta clara... me interesa chrootear diferentes servicios > como puede ser apache o squid. Si son atacados, evitar una fuga de > seguridad. > Apache ya por seguridad corre como www-data o algo así, no como root, así que no es tan problemático como parece. El chroot te tocará hacerlo a mano: 1 creas un directorio donde crearás el nuevo root, replicas la estructura del arbol de directorios 2 Instalas allí los nuevos programas y sus dependencias (por ejempo, si usas apache con páginas php, tendrías que poner en el chroot todas las bibliotecas que usa apache, php, apahce y php en si. Luego en el normal tendrías que modificar los scripts de arranque para que ejecuten el apache chrooteado. La forma fácil dado que vas a ejecutarvarios programas en crear el directorio nuevo, con debootstrap puedes instalar en el directorio nuevo un sistema base de debian. Como uso aplicaciones de todo tipo (openoffice por ejemplo) en el chroot y me gusta tener por ejemplo mi home de usuario disponible desde el chroot, ejecuto esto en un script: mount --bind /tmp "$CHROOTDIR/tmp" mount --bind /proc "$CHROOTDIR/proc" mount --bind /etc/passwd "$CHROOTDIR/etc/passwd" mount --bind /etc/shadow "$CHROOTDIR/etc/shadow" mount --bind /etc/group "$CHROOTDIR/etc/group" mount --bind /home "$CHROOTDIR/home" mount --bind /mnt "$CHROOTDIR/mnt" como tu lo haces por seguridad, las dos ultimas te sobran, y quizás tampoco deberías hacer el bind de passwd shadown y group sino copiar solo tus archivos y dejar los usuarios de apache, y los que usen los demonios y poco más. para ejecutar los programas, la forma más sencilla como te he dicho es dchroot (lo configuras, y desde ese momento solo con dchroot comando ejecutas el comando en el dchroot). Saludos Aritz Beraza [Rei] -- Aritz Beraza Garayalde [Rei] ___________________________________________ [ WWW ] http://evangelion.homelinux.net [jabber] rei[en]bulmalug.net