Re: chroot, security, etc
К тому-же можно ioctl подлый сказать в устройство какое-нибудь. Сделать device для hda и почитать/пописать. Подлянок достаточно. Понятно. Тогда и chroot не спасет. Тем более не вижу смысла делать эти навороты. Виктор
Re: chroot, security, etc
On Fri, Jun 01, 2001 at 10:35:36AM +0500, Victor Vislobokov wrote: К тому-же можно ioctl подлый сказать в устройство какое-нибудь. Сделать device для hda и почитать/пописать. Подлянок достаточно. Понятно. Тогда и chroot не спасет. Тем более не вижу смысла делать эти навороты. Смысл есть. Это только рут может подгадить в chroot'е. Обычный узер не может. С другой стороны у обычного узера гораздо больше шансов получить дополнительные привилегии, если он находится вне довольно бедного софтом chroot'а. Естественно, chroot - не панацея. Он не отменяет других мер безопасности, но и лишним не является. -- dg
Re: chroot, security, etc
Понятно. Тогда и chroot не спасет. Тем более не вижу смысла делать эти навороты. Смысл есть. Это только рут может подгадить в chroot'е. Обычный узер не может. С другой стороны у обычного узера гораздо больше шансов получить дополнительные привилегии, если он находится вне довольно бедного софтом chroot'а. Естественно, chroot - не панацея. Он не отменяет других мер безопасности, но и лишним не является. Тогда надо подходить с оценкой трудозатраты - эффективность. Так вот пока я вижу, что первое очень велико, а второе довольно мало. Виктор
Re: chroot, security, etc
On Fri, 1 Jun 2001, Victor Vislobokov wrote: Поэтому chroot - несколько иной механизм защиты, чем неисполняемый стек. Они друг друга не заменяют, а лишь дополняют. К тому же есть смысл ставить bind не только в chroot, а и с -u nobody -g nobody, ибо даже в chroot'е root может подгадить. Даже если на файлах стоит атрибут i, а утилиты для его смены в chroot'овом окружении нет? Утилиты нету, а системный вызов никуда не делся. -- Victor Wagner [EMAIL PROTECTED] Chief Technical Officer Office:7-(095)-748-53-88 Communiware.Net Home: 7-(095)-135-46-61 http://www.communiware.net http://www.ice.ru/~vitus
Re: chroot, security, etc
On Fri, 1 Jun 2001, Victor Vislobokov wrote: Это только рут может подгадить в chroot'е. Обычный узер не может. С другой стороны у обычного узера гораздо больше шансов получить дополнительные привилегии, если он находится вне довольно бедного софтом chroot'а. Естественно, chroot - не панацея. Он не отменяет других мер безопасности, но и лишним не является. Тогда надо подходить с оценкой трудозатраты - эффективность. Так вот пока я вижу, что первое очень велико, а второе довольно мало. Вот собственно из-за моей оценки соотношения трудозатрат/эффективности я и выступаю активно против борьбы за chroot. -- Victor Wagner [EMAIL PROTECTED] Chief Technical Officer Office:7-(095)-748-53-88 Communiware.Net Home: 7-(095)-135-46-61 http://www.communiware.net http://www.ice.ru/~vitus
Re: chroot, security, etc
Install LIDS ? --- Victor Wagner [EMAIL PROTECTED] wrote: äÁÖÅ ÅÓÌÉ ÎÁ ÆÁÊÌÁÈ ÓÔÏÉÔ ÁÔÒÉÂÕÔ i, Á ÕÔÉÌÉÔÙ ÄÌÑ ÅÇÏ ÓÍÅÎÙ × chroot'Ï×ÏÍ ÏËÒÕÖÅÎÉÉ ÎÅÔ? õÔÉÌÉÔÙ ÎÅÔÕ, Á ÓÉÓÔÅÍÎÙÊ ×ÙÚÏ× ÎÉËÕÄÁ ÎÅ ÄÅÌÓÑ. = Yours, Pavel V. Epifanov. --- __ Do You Yahoo!? Get personalized email addresses from Yahoo! Mail - only $35 a year! http://personal.mail.yahoo.com/
Re: chroot, security, etc
On Fri, 1 Jun 2001, Pavel Epifanov wrote: From: Pavel Epifanov [EMAIL PROTECTED] Subject: Re: chroot, security, etc Install LIDS ? Тоже хорошая вещь. Как альтернатива сhroot. --- Victor Wagner [EMAIL PROTECTED] wrote: Даже если на файлах стоит атрибут i, а утилиты для его смены в chroot'овом окружении нет? Утилиты нету, а системный вызов никуда не делся. = Yours, Pavel V. Epifanov. --- __ Do You Yahoo!? Get personalized email addresses from Yahoo! Mail - only $35 a year! http://personal.mail.yahoo.com/ -- Victor Wagner [EMAIL PROTECTED] Chief Technical Officer Office:7-(095)-748-53-88 Communiware.Net Home: 7-(095)-135-46-61 http://www.communiware.net http://www.ice.ru/~vitus
Re: chroot, security, etc
On Fri, 1 Jun 2001 02:52:40 -0700 (PDT) Pavel Epifanov [EMAIL PROTECTED] wrote: Install LIDS ? Install RSBAC ! :-) Rgrds, AEN --- Victor Wagner [EMAIL PROTECTED] wrote: Даже если на файлах стоит атрибут i, а утилиты для его смены в chroot'овом окружении нет? Утилиты нету, а системный вызов никуда не делся. = Yours, Pavel V. Epifanov. --- __ Do You Yahoo!? Get personalized email addresses from Yahoo! Mail - only $35 a year! http://personal.mail.yahoo.com/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: chroot, security, etc
tOn Fri, 1 Jun 2001, Aleksey Novodvorsky wrote: Тоже хорошая вещь. Как альтернатива сhroot. LIDS -- альтернатива chroot??? Да. При наличии ограничений на объем труда, который можно вложить в данную систему, различные меры по обеспечению безопасности можно рассматривать как альтернативы. Даже если принципиально возможно их совместное применение. -- Victor Wagner [EMAIL PROTECTED] Chief Technical Officer Office:7-(095)-748-53-88 Communiware.Net Home: 7-(095)-135-46-61 http://www.communiware.net http://www.ice.ru/~vitus
Re: chroot, security, etc
On Fri, 1 Jun 2001 15:28:59 +0400 (MSD) Victor Wagner [EMAIL PROTECTED] wrote: tOn Fri, 1 Jun 2001, Aleksey Novodvorsky wrote: Тоже хорошая вещь. Как альтернатива сhroot. LIDS -- альтернатива chroot??? Да. При наличии ограничений на объем труда, который можно вложить в данную систему, различные меры по обеспечению безопасности можно рассматривать как альтернативы. Даже если принципиально возможно их совместное применение. Видимо, конец недели -- смысл Вашей фразы до меня не доходит. Впрочем, пустое все это, ибо с Вашей стороны -- умозрительно. Rgrds, AEN
Re: chroot, security, etc
On Fri, Jun 01, 2001 at 10:57:16AM +0500, Victor Vislobokov wrote: Понятно. Тогда и chroot не спасет. Тем более не вижу смысла делать эти навороты. Смысл есть. Это только рут может подгадить в chroot'е. Обычный узер не может. С другой стороны у обычного узера гораздо больше шансов получить дополнительные привилегии, если он находится вне довольно бедного софтом chroot'а. Естественно, chroot - не панацея. Он не отменяет других мер безопасности, но и лишним не является. Тогда надо подходить с оценкой трудозатраты - эффективность. Так вот пока я вижу, что первое очень велико, а второе довольно мало. IMO, в ряде случаев оно того стоит. bind без chroot -- деньги на ветер :) Впрочем, никто никого не насилует. Каждый оценивает свои риски самостоятельно. -- dg
Re: chroot, security, etc
On Fri, Jun 01, 2001 at 09:11:47AM +0500, Victor Vislobokov wrote: Привет всем! Чего-то я окончательно перестал что-либо понимать. Вот, например, chroot'овые серверы, там bind, postgres и т.д. Я правильно понимаю, что все это chroot'ство делается только для того, чтобы если человек найдет дыру и сорвет стек, получив таким образом root'овые права, все равно не мог за какое-то ограниченное пространство вылезти? Если да, то не проще ли просто поставить патч к ядру от Solar Designer с тем чтобы исполняемого стека просто не было? Или я чего-то не понимаю принципиально? Не проще. Срыв стека - частный случай дыры. Исполнить свой код на машине можно и другими способами. Поэтому chroot - несколько иной механизм защиты, чем неисполняемый стек. Они друг друга не заменяют, а лишь дополняют. К тому же есть смысл ставить bind не только в chroot, а и с -u nobody -g nobody, ибо даже в chroot'е root может подгадить. -- dg
Re: chroot, security, etc
Срыв стека - частный случай дыры. Исполнить свой код на машине можно и другими способами. Хотелось бы услышать какими. Поэтому chroot - несколько иной механизм защиты, чем неисполняемый стек. Они друг друга не заменяют, а лишь дополняют. К тому же есть смысл ставить bind не только в chroot, а и с -u nobody -g nobody, ибо даже в chroot'е root может подгадить. Даже если на файлах стоит атрибут i, а утилиты для его смены в chroot'овом окружении нет? Виктор
Re: chroot, security, etc
К тому же есть смысл ставить bind не только в chroot, а и с -u nobody -g nobody, ибо даже в chroot'е root может подгадить. s/-g nobody/-g nogroup/ Sorry, недостаток кофеина в организме сказывается. -- dg
Re: chroot, security, etc
On Fri, Jun 01, 2001 at 09:46:24AM +0500, Victor Vislobokov wrote: Срыв стека - частный случай дыры. Исполнить свой код на машине можно и другими способами. Хотелось бы услышать какими. Например, переполняем статический буффер, за которым идет массив указателей на функции... Способов масса. Поэтому chroot - несколько иной механизм защиты, чем неисполняемый стек. Они друг друга не заменяют, а лишь дополняют. К тому же есть смысл ставить bind не только в chroot, а и с -u nobody -g nobody, ибо даже в chroot'е root может подгадить. Даже если на файлах стоит атрибут i, а утилиты для его смены в chroot'овом окружении нет? Сисколл-то никуда не делся :) К тому-же можно ioctl подлый сказать в устройство какое-нибудь. Сделать device для hda и почитать/пописать. Подлянок достаточно. -- dg This message is for informational purposes only and may contain confidential business information. All data and other information in it are not warranted as to completeness or accuracy. Any statements made herein do not necessarily reflect those of WARP Solutions Inc. It is intended for the addressee only and may not be copied without our permission. If you are not the intended recipient please contact the sender as soon as possible