/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Sikkerhedshuller i chroot
Fra : Lars Kongshøj


Dato : 05-03-03 23:05

Er der nogen, der ved hvad har man gjort for at undgå sikkerhedshuller i
chroot? Når chroot kan udføres af en bruger kan bruger jo også oprette
sin egen passwd-fil, med et nyt root-passwd. Jeg har lige prøvet i et
chroot-miljø, men hverken su eller login virkede, men det var vist af
andre årsager. Så jeg kunne da forestille mig at der var et problem der?

--
Lars Kongshøj
http://www.kongshoj.com/

 
 
Christian Laursen (05-03-2003)
Kommentar
Fra : Christian Laursen


Dato : 05-03-03 23:13

Lars Kongshøj <lars_kongshoj@hotmail.com> writes:

> Er der nogen, der ved hvad har man gjort for at undgå sikkerhedshuller i
> chroot? Når chroot kan udføres af en bruger kan bruger jo også oprette
> sin egen passwd-fil, med et nyt root-passwd.

Netop af samme grund kan chroot ikke udføres af andre brugere end root.

--
Med venlig hilsen
Christian Laursen

Lars Kongshøj (05-03-2003)
Kommentar
Fra : Lars Kongshøj


Dato : 05-03-03 23:21

Christian Laursen wrote:
> Lars Kongshøj <lars_kongshoj@hotmail.com> writes:
> > Er der nogen, der ved hvad har man gjort for at undgå sikkerhedshuller i
> > chroot? Når chroot kan udføres af en bruger kan bruger jo også oprette
> > sin egen passwd-fil, med et nyt root-passwd.
> Netop af samme grund kan chroot ikke udføres af andre brugere end root.

Den foresvævede mig også at jeg havde hørt noget i den stil, derfor
tjekkede jeg det lige på to forskellige linux-systemer, inden jeg sendte
indlægget. Jeg fik i begge tilfælde (redhat og lfs):

zsh:root> ll =chroot
-rwxr-xr-x 1 root root 6884 Feb 4 2001 /usr/sbin/chroot

Men det chroot-system, jeg havde kørende var startet af root, selv om
jeg var alm. bruger der. Jeg kan ikke køre chroot som alm. bruger, så
det er nok et tjek chrot selv laver, uafhængigt af permissions på
programmet.

--
Lars Kongshøj
http://www.kongshoj.com/

Christian Laursen (05-03-2003)
Kommentar
Fra : Christian Laursen


Dato : 05-03-03 23:24

Lars Kongshøj <lars_kongshoj@hotmail.com> writes:

> Men det chroot-system, jeg havde kørende var startet af root, selv om
> jeg var alm. bruger der. Jeg kan ikke køre chroot som alm. bruger, så
> det er nok et tjek chrot selv laver, uafhængigt af permissions på
> programmet.

Ja, der bliver lavet et check fra kernens side, når chroot-systemkaldet
udføres.

--
Med venlig hilsen
Christian Laursen

Lars Kongshøj (05-03-2003)
Kommentar
Fra : Lars Kongshøj


Dato : 05-03-03 23:32

Christian Laursen wrote:
> Lars Kongshøj <lars_kongshoj@hotmail.com> writes:
> > Men det chroot-system, jeg havde kørende var startet af root, selv om
> > jeg var alm. bruger der. Jeg kan ikke køre chroot som alm. bruger, så
> > det er nok et tjek chrot selv laver, uafhængigt af permissions på
> > programmet.
> Ja, der bliver lavet et check fra kernens side, når chroot-systemkaldet
> udføres.

Det rare ved nyhedsgruppen her er at der så ofte er en haj til stede

Bare sådan for nysgerrigheds skyld: ved du om det er noget der kan
styres, jeg har hørt noget om et system der vist hed capabilities, der
lød ret smart.

--
Lars Kongshøj
http://www.kongshoj.com/

Alex Holst (05-03-2003)
Kommentar
Fra : Alex Holst


Dato : 05-03-03 23:59

Lars Kongshøj <lars_kongshoj@hotmail.com> wrote:
> Bare sådan for nysgerrigheds skyld: ved du om det er noget der kan
> styres, jeg har hørt noget om et system der vist hed capabilities, der
> lød ret smart.

Capability-baserede systemer er langt mere komplicerede end
sikkerhedsmodellen i UNIX. Laes f.eks. "Capability-Based Computer
Systems" af Henry M. Levy. (Du kan finde den komplette bog paa nettet).

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Lars Kongshøj (06-03-2003)
Kommentar
Fra : Lars Kongshøj


Dato : 06-03-03 00:23

Alex Holst wrote:
> Lars Kongshøj <lars_kongshoj@hotmail.com> wrote:
> > Bare sådan for nysgerrigheds skyld: ved du om det er noget der kan
> > styres, jeg har hørt noget om et system der vist hed capabilities, der
> > lød ret smart.
> Capability-baserede systemer er langt mere komplicerede end
> sikkerhedsmodellen i UNIX. Laes f.eks. "Capability-Based Computer
> Systems" af Henry M. Levy. (Du kan finde den komplette bog paa nettet).

OK. Den må google kunne finde...

--
Lars Kongshøj
http://www.kongshoj.com/

Kim Hansen (06-03-2003)
Kommentar
Fra : Kim Hansen


Dato : 06-03-03 00:57

Lars Kongshøj <lars_kongshoj@hotmail.com> writes:

> Christian Laursen wrote:
> > Lars Kongshøj <lars_kongshoj@hotmail.com> writes:
> > > Men det chroot-system, jeg havde kørende var startet af root, selv om
> > > jeg var alm. bruger der. Jeg kan ikke køre chroot som alm. bruger, så
> > > det er nok et tjek chrot selv laver, uafhængigt af permissions på
> > > programmet.
> > Ja, der bliver lavet et check fra kernens side, når chroot-systemkaldet
> > udføres.
>
> Det rare ved nyhedsgruppen her er at der så ofte er en haj til stede
>
> Bare sådan for nysgerrigheds skyld: ved du om det er noget der kan
> styres, jeg har hørt noget om et system der vist hed capabilities, der
> lød ret smart.

Såvidt jeg kan se i koden kræver det CAP_SYS_CHROOT:
http://lxr.linux.no/source/fs/open.c#L435

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-'`' -. ;-;;,_ | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Phone: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

Søg
Reklame
Statistik
Spørgsmål : 177554
Tips : 31968
Nyheder : 719565
Indlæg : 6408852
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste