[misher]

Прежде всего, оговорюсь, почему chroot, а не jail:
- только 1 внешний (юзер ожидается снаружи) IP
- мало места на диске, да и машинка старая-слабая.

Лучше создать алиасный IP для jail,
ну а для экономии места,- jail тоже рекомендуется собирать руками (прям как chroot песочницу, это еще и лишняя безопасность - когда в тюряге мало всякой всячины)

По поводу безопасности с chroot - если юзер поменяет себе uid на ноль (мало ли что бывает), то минимум он сможет организовать в chroot'e файлы устройств (например /dev/mem)

Вобщем грамотно настроеная jail-subsystem будет лучшим решением

[mar]

misher

Цитата:

Лучше создать алиасный IP для jail

и пробрасывать конкретнеого юзера на этот алиаз? как? (напоминаю - провайдер дал мне один внешний IP. Второго не будет.)

Цитата:

если юзер поменяет себе uid на ноль

как?

Цитата:

jail тоже рекомендуется собирать руками

и сколько занимает самый минимум? с bash и ls? (или bash+ls+ssh)

Но вообще-то меня больше интересовали варианты решения запуска ssh из-под chroot и их обсуждение

[misher]

Самый возможный минимум это один фаил
с баш и лс столько же сколько в чруте

Насчет как поменять уид на ноль - встречный вопрос если он неможет этого сделать в
чруте - может он несможет сделать этого и в основной системе и мутить песочницу ненадо?

[misher]

Кстати насчет одного внешнего ip - можно настроить ipfw для forward'a во внутрь (на алиас)

[mar]

Цитата:

Кстати насчет одного внешнего ip - можно настроить ipfw для forward'a во внутрь (на алиас)

как сделать в ipfw forward для пакетов, приходящих не с конкретной машины, а от конкретного пользователя? (Честно говоря, по-моему никак )

Цитата:

Насчет как поменять уид на ноль - встречный вопрос если он неможет этого сделать в чруте - может он несможет сделать этого и в основной системе и мутить песочницу ненадо?

ну в песочнице возможностей для порчи системы мягко говоря меньше (если вообще имеются)

кроме того, меня все-таки занимает задача с ssh из-под chroot (хотя бы просто, как возможная задача )

[misher]

как сделать в ipfw forward для пакетов, приходящих не с конкретной машины, а от конкретного пользователя? (Честно говоря, по-моему никак )
-Можно подробнее (должен ли юзер выходить в инет или иметь какие-либо серверы)

Чрут делается для того чтобы убрать юзеру доступ к основным файлам системы.
Какие файлы являются опасными? Фаилы с setuid, файлы с паролями и файлы устройств - на устройства система ставит грамотные права, пароли тоже простому юзеру недоступны, а вот сетуид файлы могут появится из-за третьего софта - их следует найти
и запретить запускать этому юзеру-хакеру и нефига он сделать несможет. (а если как-то сможет, то и чрут он тоже завалит)

[misher]

mar
Кстати прикинь если в ssh будет какое-нибудь переполнение буфера

кроме того, меня все-таки занимает задача с ssh из-под chroot (хотя бы просто, как возможная задача )

А вот это весьма интересная тема - sshd работает из под рута и в песочнице
он единственный превелигерованный процесс - заставить бы его работать
неиз под рута и безопасность в песочнице будет навысоте.

Наверное следует создать пользователя типа croot отдать ему в хозяйство все
системные (в чруте) файлы (каие-то на чтение) и запускать sshd из под него.

[mar]

мнение misher, в общем понятно: мне предлагается заниматься безопасностью системы и чтением новостей по эксплойтам
по-прежнему очень интересует мнение тех, кто хотел бы высказаться по поводу вариантов того, как поступить с ssh-прибамбасами :

Цитата:

Теперь все работает, но возникают вопросы: пусть даже юзер в chroot будет запускаться с флагом -u имя (то есть не получит там chroot-ного root-ового shell-a). Все равно как-то сомнения гложат, насколько такой метод безопасен. Возможные варианты: 1) скомпилировать специально для использования в песочнице ssh без этих строк проверки. 2) сделать так, как сделано - с копированием реальных файлов (и запуском юзера под юзером ) 3) создания файлов базы прямо под chroot (боюсь, придется поизвращаться) 4) any ideas? Хотелось бы выслушать мнение уважаемого all и всякие идеи по этому поводу