польза chroot'a

gentoo ставить ;)

> в чем собственно стоит польза зачрутенного сервиса?

Это же элементарно, Ватсон! Если сломают зачрутенный сервис, то получат доступ только к ограниченному окружению - до остальной части системы не доберутся. По крайней мере, придётся ещё один шаг делать - вылезать из чрута.

А я считал так, что если например к апачу приминяют какой-нибудь эксплойт на переполнение буфера и вызов определенной команды через него для получения шелла, то так как он находится в чруте, а следовательно у него в корне лежит только то, что ему надо, то вызов подобной шняги будет просто бесполезным.

ПС: а у меня и стоит Gentoo =)

> так как он находится в чруте, а следовательно у него в корне лежит только то, что ему надо, то вызов подобной шняги будет просто бесполезным.

Это если в чруте нет шелла. Однако, можно получить какую-нибудь другую рутовую прогу. Например, рутовый PHP, рутовый Perl и пр. :) Ну, а дальше - локальный взлом: выход из чрута.

А насколько сложно выйти из чрута? Можно ли как-нибудь училить рамки этого самого чрута? От чего зависит его стойкость?

Зависит от типа chroot и того что там есть.

Если там есть рутовые сервисы, то обычный chroot проломить просто.

> gentoo ставить ;)

в нормальных системах, типа *BSD, есть unpriveleged build для этих целей..

Как то у Вас слабовасто

будем вспоминать все что связано с chroot

Очень полезен если у тебя программа работает в chroot окружении без прав пользователя c правильными правами на корень chroot-а и само
окружение chroot. Выйти за пределы корня chroot-а не реально. А также
натворить что нибуть серьезное в окружении chroot. В худшем случае будет висеть что нибуть в виде демона и занимать процессорное время
на всякую ерунду, что очень быстро лечится.


Немного хуже если в окружении chroot работает прога под правми рута.
1 - она может выползти из chroot читая иноды дисков
2 - доступны все syscall - что не есть хорошо.
3 - она может многое творить внутри окружения chroot (отсюда вытекают первых два тяжких последствия).

Но для выползания из chroot окружения эксплойт должен быть
несколько увеличен в размерах, что не всегда реально ( это мое имхо
сам не хаккер и толком еще ничего не вскрывал)

При каком либо паче на ядре от перполнения буфера
chroot + пач - уже очень серьезная стена. Сам когда то проверял на
binde- когда мне надоело что его каждый кулц хакер кладет насмерть
просто обновил bind. Хотя тогда может еще небыло эксплойтов с
выходом из chroot. Бум ждать и ловить...

PS: а если поставить серьезную систему безопасности с ограниченим прав root - читать faq. Но это уже пахнет бооольшим гемороем... на маленькм сервере.

для apache, например, дело такое необходимо, дырки находят каждый месяц, реально зачрутить связку apache+php+mysql, плюс поставить libsafe для защиты от переполнения буфера, не забыть включить mod_security в апач и следить за логами. Взлом такого сервера будет слишком геморным и долгим, ну и еще сырцы apache подправить чтобы банер выдавал вместо 'Apache' любимое 'unknown' без номера версии ...

> вместо 'Apache' любимое 'unknown' без номера версии ...

Кто ж ещё кроме Apache такое выдавать будет :) Лучше под IIS косить. :)

Уважаемые а что вы скажете если кроме chroot ядро ещё и каким-нибудь grsecurity обложить? Имеет ли это смысл?