Bueno he leido un poco sobre el tema, y creo que voy entendiendo, pero de que depende el poder poner un proceso en una jaula, de la programacion del proceso?? esto no lo tengo muy claro.
Imaginemos que se monta un ftp en una jaula para actualizar pagina en el servidor, tambien apache deberia correr en la misma jaula?? Gracias de antemano. ----- Original Message ----- From: "Fernando M. Maresca" <[EMAIL PROTECTED]> To: <[email protected]> Sent: Saturday, June 14, 2003 6:22 PM Subject: [EMAIL PROTECTED]: Re: ftp seguro] > > > >Podrias explicar un poco que es el ambiente chroot? y la jaulta chroot? > > >Lo agradeceremos todos, gracias. > > Bueno, como t�pico puede ser bastante extenso; puedo dar una idea acerca > de esto, pero no voy a explicar detalladamente como hacer una ambiente > chroot. > la jaula chroot es un truco que se hace en el servidor para protegerlo > de ciertos ataques que podr�an terminar enajenando el server. > Ciertos servicios, notablemente fpt y bind, tmbi�n sendmail, son > c�lebres por haber tenido vulnerabilidades que han permitido a ciertos > usuarios adquirir privilegios en el server y adue�arse de la m�quina o > usar su ancho de banda y otros recursos (repositorios de porno y mp3, > etc.) > La idea de una jaula chroot consiste en hacerle creer a un proceso > cualquiera (BIND, ProFtp) que el subdirectorio donde se encuentra es el > directorio /. En otras palabras: se crea un subdirectorio en cualquier > parte del �rbol, por ejemplo /chroot; ah� adentro se copian los archivos > y directorios necesarios para que el proceso pueda ejecutarse, entonces > queda algo as�: > / > /bin > /boot > /chroot > /bin > /etc > /lib > /sbin > /usr > /var > /tmp > /etc > /dev > /home > ... > Y dentro de cada uno de esos directorios hay que copiar los archivos, > binarios y librer�as necesarios para que el servidor se ejecute. > la estructura de directorio bajo /chroot es donde corre el proceso > enjaulado, esa es la jaula. De esta forma, el proceso enjaulado _cree_ > que /chroot es /, y no puede evitar de ning�n(?) modo creerlo. Por > tanto, cuando desde dentro de la jaula se hace "cd /" se va a parar a > /chroot. > Ahora, si alguien logra explotar una vulnerabilidad de BIND pongamos por > caso, puede ser que altere cosas dentro de la jaula, pero: tenemos > seguridad en el resto de nuestro server, podemos controlarlo mas > f�cilmente, y en el �ltimo de los casos una jaula chroot se puede > reponer desde un backup en minutos. > Casi cualquier server ftp en el que hayas entrado para bajarte o subirte > algo seguramente ese server estar�a ejecut�ndose en una jaula. > Espero te haya servido de algo esta breve y posiblemente inexacta > explicaci�n. > En www.linuxdoc.org, como dije antes, hay buenas howtos sobre este tema, > que son de lectura obligatoria para hacer una cosa as�, ya que si esta > teor�a es bien simple, en la pr�ctica seguramente no lo ser� tanto. > > Saludos, Fernando >
