Chroot prostředí - I (diskuse)

Taky se přidám: Proč je ten obrázek ve formátu JPEG? Proboha! Vždyť je to dvoubarevné schéma! K tomu je PNG. Kdy už si lidi odvyknou používat JPEG a priori na všechno? JPEG se hodí JENOM na fotky! Ale jinak myslím zajímavý článek pro začátečníky, děkuji. Dvojka snad doplní nedostatky a chyby. Petr

Amatéři postavili Noemovu archu, profesionálové Titanic ...

16.12.2003 09:26 Leoš Literák | skóre: 74 | blog: LL | Praha
Rozbalit Rozbalit vše Obrázek

Naprosty souhlas. JPG se na carovou grafiku vubec nehodi, ma horsi kompresni pomer a navic cary nejsou ostre, jako v originale.

Zakladatel tohoto portálu. Twitter, LinkedIn, blog, StackOverflow

18.5.2004 20:28 VB
Rozbalit Rozbalit vše Re: Obrázek

To vsak nema s chroot nic spolecnyho :-)

16.12.2003 11:33 Beda
Rozbalit Rozbalit vše Obrázek

jpg se nehodi ani na fotky. jpg se hodi akorat na thumbnaily pro pornostranky. mas videt, jak blbe vypada fotka z digitalniho fotaku v jpegu v nejvyssi kvalite. modry/zluty nebo jinak barevny zamlzeny hrany. des.

22.12.2003 16:04 Pavel Beníšek | skóre: 27
Rozbalit Rozbalit vše Obrázek

.. uz jsem nekolikrat videl bmp ... ;)

checking for chicken... must have egg first

Autor mne teda dostal. Vazne jsem zapochyboval o svych vedomostech a misto, kde se pridava radek

franta:x:505:505::/chroot:/chroot/bin/bash

jsem si precetl nekolikrat a hledal jsem co mi uniklo. Nakonec mne ubezpecil kolega, ze tentokrat neni vyjimecne chyba na me strane :))

16.12.2003 09:53 Leoš Literák | skóre: 74 | blog: LL | Praha
Rozbalit Rozbalit vše jak je to spravne?

mohli byste tady nekdo prosim napsat, jak se to spravne dela? opravime potom clanek, at nemate ostatni ctenare. diky.

Zakladatel tohoto portálu. Twitter, LinkedIn, blog, StackOverflow

16.12.2003 10:03 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše jak je to spravne?

pouzival jsem patch na ssh kde jsem v /etc/passwd zadal cestu k home treba jako /home/.chroot/home/franta a pri nalogovani do ssh me to provedlo chroot /home/.chroot/ Uzavetel kteri meli home normalni /home/user se prihalosvali normalne.
Tak jak je to prezoentovano v tomto clanku by asi musel byt patchnuty shell toho uzvatele nebo tak neco aby provedl chroot.

-- Nezdar není hanbou, hanbou je strach z pokusu.

16.12.2003 10:25 David Jež | skóre: 42 | blog: -djz | Brno
Rozbalit Rozbalit vše jak je to spravne?

Zdravim,
autor mel mozna na mysli restriktivni bash, coz se realizuje budto pomoci bash -r nebo rbash.
-djz

"Yield to temptation; it may not pass your way again." -- R. A. Heinlein

16.12.2003 10:32 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše jak je to spravne?

bash -r je kapku moc restriktivní, tam neuděláš prakticky nic, to je mnohem jednodušší ty účty rovnou zrušit...

16.12.2003 11:14 David Jež | skóre: 42 | blog: -djz | Brno
Rozbalit Rozbalit vše jak je to spravne?

Mno, restriktivni je tak akorat. Budto uzivateli veris a pak ho jailovat nebudes, nebo predpokladas, ze user je parchant kteremu je zapotrebi co nejvic zneprijemnit zivot a nechces aby se z klece dostal a mohl neco nahodou zdrbat a na to je rbash vynikajici :-)

-djz

"Yield to temptation; it may not pass your way again." -- R. A. Heinlein

17.12.2003 09:54 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše jak je to spravne?

Sorry, ale shell, kde není povoleno použít cd nebo přesměrování, je zcela k ničemu a rovná se zrušení účtu, jen je to o něco škodolibější.

16.12.2003 10:14 astar
Rozbalit Rozbalit vše jak je to spravne?

je to pekne popsane v tom HOWTO na ktere je odkaz za clankem.

16.12.2003 10:48 Jan Kurik | blog: Hemis
Rozbalit Rozbalit vše RE: jak je to spravne?

Asi nejjednoduzsi cestou jak to udelat (netvrdim, ze uplne optimalni) je zmenit zminovany radek z "/etc/passwd" na

franta:x:505:505::/chroot:/usr/local/bin/chrootsh

a do adresare "/usr/local/bin" pridat script "chrootsh" s nasledujicim obsahem:

#!/bin/bash
exec /usr/sbin/chroot /chroot /bin/bash

Ten script "chrootsh" musi mit samozrejme nastavem "x" bit.

16.12.2003 10:58 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše RE: jak je to spravne?

To je dost blbá metoda. Nebude fungovat proto, že chroot může udělat jen root, přičemž uživatelův login shell se spouští s jeho uid. Potřebuješ po cestě něco setuid.

16.12.2003 11:17 Jan Kurik | blog: Hemis
Rozbalit Rozbalit vše RE: jak je to spravne?

Pravda. Jsem si to nevyzkousel. :(

16.12.2003 11:01 Martin Rada
Rozbalit Rozbalit vše chroot uzivatele

No ton by ten radek v /etc/passwd mel vypadat napr takto: franta:x:505:505::/chroot:/usr/local/bin/jail. To, co je uvedeno v clanku je radek z /chroot/etc/passwd. Muj postup: adduser franta.... passwd franta addjaiuser /chroot /home/franta /bin/bash franta v /etc/passwd zmenit radek na vyse zminovany tvar. Podrobnejsi info zde http://www.gsyc.inf.uc3m.es/~assman/jail/

16.12.2003 11:16 Martin Rada
Rozbalit Rozbalit vše chroot uzivatele

Omlouvam se za prispevek mimo misu... asi se mel naucit poradne cist.

Hmm, /etc/passwd se needituje oblibenym editorem, nybrz utilitkou vipw. Obdobne pro /etc/group... K tomu, proc je clanek blabol, se jiz vyjadrili ostatni. --sutr

16.12.2003 10:30 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše editace /etc/passwd

Pokud nemáš na počítači pět hádajících se rootů, tak klidně oblíbeným editorem. Jinak článek není celý úplný blábol, blábol je ta část o homech, což ovšem znehodnocuje i jeho zbytek, protože si každý o autorovi něco pomyslí...

17.12.2003 10:05 Zdenek Kaminski
Rozbalit Rozbalit vše Re: editace /etc/passwd

No a uz Ti nekdy vypadl proud behem ukladani /etc/passwd? Me na jednom nejemnovanem fs ano a od Te doby se po vipw pidil, az jsem se dopidil. To neni o hadani se mezi rooty, to je o tom, co nejvice snizit riziko poskozeni pri jakekoliv udalosti... --sutr

18.12.2003 13:39 PaJaSoft
Rozbalit Rozbalit vše Re: editace /etc/passwd

Prominte Zdenku, ale na Vas problem snad existuji systemova reseni a ne to, ze na editaci kazdeho nesmyslu (pardon duleziteho souboru) budu mit extra nastroj/aplikaci, naucim se ji pouzivat apod... Kdyz uz nezacneme u UPS ci RAIDu, co treba aspon zurnalovaci FS?

18.12.2003 16:40 Aldagautr
Rozbalit Rozbalit vše Re: editace /etc/passwd

vipw a vigr jsou naprosto standardni nastroje a jak nazev napovida, je to v podstate editor vi + par uzitecnych sfci navic

...mas tam sice chybu, ale to se stava. Nenech se odradit tema komentarema... Proste to jen v pristim dile (kterej musi prijit brzy) uved na pravou miru a je to...

16.12.2003 17:55 Martin Pavlíček | skóre: 19
Rozbalit Rozbalit vše To se stava...

Diky nekterym za podporu, ale to nic nemeni na tom, ze je to obrovska chyba a ostuda. Timto se moc omlouvam (kdyz se na to ted divam, tak mi neni jasne jak jsem mohl vubec takovou kravinu napsat).

Ten obrazek taky, tam to neni az tak strasne, ale prece.

Ostatni veci tu uz byly vyjasneny (jako cim editovat /etc/passwd, ci jestli jsou prikazy ls, mkdir atd. internimi prikazy bashe).

16.12.2003 21:18 STEFi
Rozbalit Rozbalit vše To se stava...

Hele, s tim vobrazkem bych se nezabyval, vadi to jen par uchylakum :) Mel bys ale udelat nejake opravujici resume, abych teda nakonec vedel kudy vede cesta...

Myslim, ze kdyby mel normalni user pravo volat chroot, tak by mu to na par veci bylo (viz "Vytvoření chroot prostředí", bod 1). Nejsem ted u sveho pocitace, takze nemuzu vyzkouset, ale melo by za urcitych podminek fungovat nasledujici:

1) Pokud mam pravo zapisovat na oddil, kde je nejaky setuid program, vytvorim si adresar a do v nem vytvorim link na ten program.

2) Pokud program pouziva nejake dynamicky linkovane knihovny, tak mu do sveho adresare podstrcim modifikovane.

3) chroot do meho adresaere, kde spustim ten setuid program a mam to :)

4) Jsem sice v chrootu, ale jsem root, takze by (ale to prave nemam overene) treba melo jit vytvorit si blokove zarizeni odpovidajici harddisku atd...

Nevim, jestli to by to cele fungovalo, ale to ze normalni user nemuze volat chroot ma svuj vyznam :)

23.12.2003 01:55 Petr Šimeček
Rozbalit Rozbalit vše chroot pro uid != 0

Dobrý den, váš předpoklad je správný. Pokud se Vám podaří vytvořit pod chrootem blokové zařízení, můžete si do chrootu připojit jakýkoliv fs. Stejně tak není daleko od "mount -t proc proc /proc" a máte přístup k procesům - a tedy de-facto nejste v chrootu. Vhodná volba pro opevnění chtootu je zajistit, aby procesy uvnitř chrootu: - nemohly připojovat a odpojovat filesystem - nemohly provést opětovný chroot (viz. níže) - nemohly volat pivot_root() (mění root filesystému) - měly správně nastaven pracovní adresář (eliminuje možnou variantu úniku -> root může opustit "chroot vezeni" tím, že udělá "mkdir blabla; chroot blabla; cd ..") - nemohly volat chmod nebo fchmod na soubory a nastavit jim suid nebo sgid - nemohly provést fchdir na file deskriptor chrootového procesu, ukazující mimo chroot() - nemohly dělat mknod - nemohly připojit segment sdílené paměti vytvořený mimo chroot - nemohly připojit abstraktní Unix socket mimo chroot - nemohly kill, send signal s fcntl, ptrace, capget, setpgid, getpgid, getsig nebo jinak vidět procesy mimo chroot - nemohly zvedat prioritu procesů v chrootu nebo manipulovat s prioritou procesů vně chrootu čehož lze elegantně docílit například pomocí grsecurity patche do kernelu. Například prostá absence binárky chroot, mknod a mount v chrootovém adresáři jistě není správnou cestou :) Petr Šimeček petr@multimedia.cz

Pokud bychom se přes to všechno nechtěli vzdát předchozího a samozřejmě nechtěli, aby uživatel pracoval v neomezeném systému, mohli bychom použít tzv. restricted shell (bash), což není úplně ideální, a proto zájemce pouze odkáži na manuálové stránky BASHe a to konkrétně na sekci RESTRICTED SHELL.

S tim rbashem to neni nejlepsi napad, kdyz dam do /etc/passwd

pokus:x:1003:1003:pokus,,,:/home/pokus/:/bin/rbash

tak uzivateli znemoznim provest cd .. ale porad bude moct pomoci mc koukat kam bude chtit.

26.9.2008 22:33 aaa
Rozbalit Rozbalit vše Re: Chroot prostředí - I

pokud tam to mc bude :)