Chroot prostředí - II (diskuse)

Opet, opet prvni, ach jo.... BASH je program jako kazdy jiny, takze by se mel pouzit addjailsw. Shodou okolnosti jsou (tusim) vsechny potrebne knihovny jiz v chrootu nainstalovany jailem, nicmene to nemeni nic na faktu, ze tento postup zavani stylem, Windows (nejede to, zkopiruj knihovnu/soubor jinam a mozna to pojede). Jinak jeste jedna vec, to zjistovani demendencies a tak v Jailu dela program "strace". Autor me nakopl k hrani s chrootem a na mem LinuxuFromScratch jsem se v tom musel trochu vrtat, nez jsem to rozjel. Pro Autora: Neminim to ve zlem, jen ty chyby v clancich by udelal jen naprosty linuxovy zacatecnik, takze primo biji do oci. To ovsem muze byt i pozitivni zalezitost, kdyby vse fungovalo presne dle clanku, nehral bych si s tim a vedel o dost mene. Takze shrnuto podtrzeno drzim palce v editorske cinost, jen mozna pred vydanim nechat clanek projet nekym kompetentnim.

29.12.2003 15:49 Martin Pavlíček
Rozbalit Rozbalit vše Proc zas musim reagovat?

Co se BASHe tyce tak mate pravdu, ale bohuzel pri testovani se mi stalo, ze "addjailsw" proste na binarku BASHe "zapomel" (jenom na ni, vsechno ostatni tam bylo). Proto mi neprijde az tak divne, kdyz jsem ji tam prikopiroval "rucne".

5.1.2004 10:20 BoodOk
Rozbalit Rozbalit vše Proc zas musim reagovat?

Asi myslel
/usr/local/bin/addjailsw /chroot -P bash

4.9.2005 01:47 Tofu
Rozbalit Rozbalit vše RPMDIG

Ahojte,

pred nejakym casom som sa pokusal strcit ssh pod chroot. Zistil som ze to nie je vobec lahka uloha.

Tiez som nasiel zopar programov ktore na zaklade strace hladali subor a kniznice, ale vela projektov bolo mrtvych alebo nefungovali ako mali.

Kedze pouzivam Fedoru, povedal som si - naco mam rpm databazu a v nej zoznam vsetkych nainstalovanych suborov ak ju neviem vyuzit a vypisat vsetky subory a kniznice ktore pouziva ssh?

No ako som skusal, tak som skusal, nevedel som...

Preto som napisal maly skritp RPMDIG. Ako nazov zadate meno nainstalovane balicka a on rekurzivne vypise vsetky subory, kniznice a balicky ktore tento balicek pouziva. Mozete si ho stiahnut z http://freshmeat.net/projects/rpmdig Help zobrazite pomocou rpmdig --help Skript bol testovany pod RH7.3 aj pod FC3, no mal by bezat aj pod ostatnymi RPM systemami.

Bohuzial nemal som cas dokoncit moj pokus s ssh + chroot, tak ak to niekto dokonci, dajte mi vediet.

Inak z chrootu v linuxe sa varj da dost lahko uniknut, hlavne ak mate prava roota - hladajte na googli chroot escape, navod ako na to je strucne popisany aj tu: http://linux.about.com/library/cmd/blcmdl2_chroot.htm

Som zvedavy na vase reakcie.

tofu na pobox bodka sk

Zajimalo by me, jak to resi updaty. coz je docela podstatne, protoze kdyz uz to pracuje skoro automaticky, tak by to nejak mohlo resit i updatovani sw. Take by o tom mohla byt v clanku aspon zminka.

30.12.2003 13:07 alekibango
Rozbalit Rozbalit vše Vservery

Pro ty z vas, kterym jailovani prijde ponekud omezene, bych doporucil http://www.linux-vserver.org/ Umoznuje to spustit cele virtualni servery, s omezenim internetu, CPU, pameti a disku a skupinky CAPS. Takze je mozne pomoci teto techniky a par Giga na disku udelat celou virtualni sit plnou pocitacu, bezne kolem 500, a to bez znatelneho zpomaleni (jak je tomu v pripade pouziti emulatoru pc). Prave se dokoncuje prvni verze distribuce Linuxu, zalozena prave na virtualnich serverech. Poskytuje tak modularni reseni s nizsimi naklady na spravu. Vyvoj probiha v ramci projektu edunix.cz. Kdyby nekdo mel zajem (predevsim lide ze skolstvi), prijdte na irc kanal #edunix-cz na irc.freenode.net.

Ja bych vytknul jeste jeden nedostatek. Lepsi nez make install je pouzit (na systemech s balickkovym systemem rpm, deb nebo slackavare kompatibilnim, tedy prakticky vsech) checkinstall. Nejsou tak naruseny zavislosti, v systemu zustava zachovan prehled kde je co nainstalovano a co k cemu patri a take to lze pak snadno odinstalovat.

8.2.2010 12:23 LuděkS | skóre: 31 | blog: publish | Liberec
Rozbalit Rozbalit vše Re: jeste doplnek

Souhlasím. Např. u CentOSu lze použít balíček jmenuje jailkit příkaz pro použití jk_init -j. Je to pak tedy trochu jinak než je výše popisováno v návodu. Přesto jako "námět" se mi článek líbí.

chroot je sice prima vec, ale jinak celkem k nicemu. paklize je znamo x ruznych metod jak se z nej vybrejkovat a v kernelu to neni (dostatecne) osetrene, je lepsi pouzit plnokrevny jail na fbsd. pro stouraly a hracicky viz. www.grsecurity.net -- najde tam docela slusne mnozstvi materialu a taky patch grsecurity.

Sine ira et studio

29.6.2004 01:31 llook | skóre: 8 | blog: l'blog | Prágl
Rozbalit Rozbalit vše Re: poznamka k bezpecnosti

Jasně, kdybych to potřeboval na serveru, naučil bych se FreeBSD. Ale i tak se pro to dá najít využití. Zrovna si trochu hraju se Slaxem a tohle je pro mě skvělý nástroj, jak do jednoho adresáře shromáždit vše potřebné pro budoucí root.

10 REM Dej si pauzu... 20 FOR DELAY=1 TO 5000 : NEXT DELAY

zdravim a zaroven vas prosim o radu mam slackware 9.1 a naistalovany jail 1.9 postupoval som presne podla navodu a pri nalogovavani usera mi napise hlasku:

jail: execve() : No such file or directory

vcom moze byt chyba???

dakujem

9.7.2005 21:10 sonic
Rozbalit Rozbalit vše Re: chyba pri LOGIN

V gentoo linux, Jail (version 1.9 for linux) mam naprosto stejny problem =[

jail: execve() : No such file or directory

Nevite nekdo prosim radu?

sonic@czechcore.cz

diky.

Dobry den, postupoval som podla clanku az do okamihu ked som zadal chroot /chroot dostal som hlasku cannot run command /bin/bash: No such file or directory. skusal som aj /usr/local/bin/addjailsw -P bash aj rucne prekopirovanie cp /bin/bash /chroot/bin

ale nepomohlo Dik za radu

31.8.2005 01:05 jm
Rozbalit Rozbalit vše Re: Spustenie bash v jail

Ale jo, vime. V chrootu chybi /lib/ld-linux.so.2, no holt ten jail moc inteligentni neni, kdyz neumi ani korektne pouzit ldd...

4.9.2005 01:49 tofu
Rozbalit Rozbalit vše RPMDIG

Ahojte, pred nejakym casom som sa pokusal strcit ssh pod chroot. Zistil som ze to nie je vobec lahka uloha.

Tiez som nasiel zopar programov ktore na zaklade strace hladali subor a kniznice, ale vela projektov bolo mrtvych alebo nefungovali ako mali.

Kedze pouzivam Fedoru, povedal som si - naco mam rpm databazu a v nej zoznam vsetkych nainstalovanych suborov ak ju neviem vyuzit a vypisat vsetky subory a kniznice ktore pouziva ssh?

No ako som skusal, tak som skusal, nevedel som...

Bohuzial nemal som cas dokoncit moj pokus s ssh + chroot, tak ak to niekto dokonci, dajte mi vediet.

Inak z chrootu v linuxe sa vraj da dost lahko uniknut, hlavne ak mate prava roota - hladajte na googli chroot escape, navod ako na to je strucne popisany aj tu: http://linux.about.com/library/cmd/blcmdl2_chroot.htm

Som zvedavy na vase reakcie.

tofu na pobox bodka sk

9.2.2010 11:31 LuděkS | skóre: 31 | blog: publish | Liberec
Rozbalit Rozbalit vše Re: RPMDIG

Já jsem se s tím docela trápil, ale nakonec se mi to nepodařilo. Je ale fakt, jestli není lepší pro takové případy použít treba OpenVPN. Ptal jsem se na to tady.