>Podrias explicar un poco que es el ambiente chroot? y la jaulta chroot?
>Lo agradeceremos todos, gracias. Bueno, como t�pico puede ser bastante extenso; puedo dar una idea acerca de esto, pero no voy a explicar detalladamente como hacer una ambiente chroot. la jaula chroot es un truco que se hace en el servidor para protegerlo de ciertos ataques que podr�an terminar enajenando el server. Ciertos servicios, notablemente fpt y bind, tmbi�n sendmail, son c�lebres por haber tenido vulnerabilidades que han permitido a ciertos usuarios adquirir privilegios en el server y adue�arse de la m�quina o usar su ancho de banda y otros recursos (repositorios de porno y mp3, etc.) La idea de una jaula chroot consiste en hacerle creer a un proceso cualquiera (BIND, ProFtp) que el subdirectorio donde se encuentra es el directorio /. En otras palabras: se crea un subdirectorio en cualquier parte del �rbol, por ejemplo /chroot; ah� adentro se copian los archivos y directorios necesarios para que el proceso pueda ejecutarse, entonces queda algo as�: / /bin /boot /chroot /bin /etc /lib /sbin /usr /var /tmp /etc /dev /home ... Y dentro de cada uno de esos directorios hay que copiar los archivos, binarios y librer�as necesarios para que el servidor se ejecute. la estructura de directorio bajo /chroot es donde corre el proceso enjaulado, esa es la jaula. De esta forma, el proceso enjaulado _cree_ que /chroot es /, y no puede evitar de ning�n(?) modo creerlo. Por tanto, cuando desde dentro de la jaula se hace "cd /" se va a parar a /chroot. Ahora, si alguien logra explotar una vulnerabilidad de BIND pongamos por caso, puede ser que altere cosas dentro de la jaula, pero: tenemos seguridad en el resto de nuestro server, podemos controlarlo mas f�cilmente, y en el �ltimo de los casos una jaula chroot se puede reponer desde un backup en minutos. Casi cualquier server ftp en el que hayas entrado para bajarte o subirte algo seguramente ese server estar�a ejecut�ndose en una jaula. Espero te haya servido de algo esta breve y posiblemente inexacta explicaci�n. En www.linuxdoc.org, como dije antes, hay buenas howtos sobre este tema, que son de lectura obligatoria para hacer una cosa as�, ya que si esta teor�a es bien simple, en la pr�ctica seguramente no lo ser� tanto. Saludos, Fernando ----- Original Message ----- From: "Fernando M. Maresca" <[EMAIL PROTECTED]> To: <[email protected]> Sent: Saturday, June 14, 2003 7:11 AM Subject: Re: ftp seguro > On Sat, Jun 14, 2003 at 01:50:07AM -0300, Roberto Coria wrote: > > Hola chicos!!! > > > > Tengo un debian en producci�n y varias p�ginas que mis clientes tendr�n > > que actualizar peri�dicamente. Todos ellos usan winchot con frontpage... > > bahhh la mayor�a. Mis clientes est�n ya avisados que no queremos, ni > > tenemos, ni vamos a tener las extensiones del frontpage instaladas en el > > apache2. > > > > Que servicio seguro de ftp podr�a usar para que puedan actualizar sus > > p�ginas. > > Man, si vas a abrir un ftp a internet, yo que vos voy pensando en una > jaula chroot. > Ac� hay un art�culo: > http://www.linuxhq.com/ldp/howto/mini/FTP-6.html > Fijate que en linuxdoc hab�a una howto de como armar una ambiente chroot > para poner DNS, FTP, etc. > Ahora, si tus clientes est�n en tu red y no necesit�s abrir el puerto > ftp para afuera, entonces lo mas recomendable es que lo metas en una > jaula chroot ;-) > > Saludos, Fernando > > >Mi woody tiene un servidor ssh para trabajos de mantenimiento a > > distancia. Conocen alg�n sftp que corra bajo winchot y lo reconozca > > frontpage, o en su defecto que deber�a ofrecerles para que ellos usen??? > > > > Gracias por vuestro tiempo. > > > > Un saludo a todos. Roberto Coria. > > > > > > -- > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > > -- > > Fernando M. > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] ----- End forwarded message ----- -- Fernando M.
