Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam
Próbujemy z kolegą postawić serwer www. W celu jakiego zabezpieczenia wymyśliliśmy, że zamkniemy go w chroocie.
Niestety po wywołaniu polecenia
www:/home/srv-admin# /usr/sbin/chroot /home/chrapache /usr/sbin/apache2
mam błąd:
/usr/sbin/chroot: line 1: syntax error near unexpected token `"/home/chrapache/",' /usr/sbin/chroot: line 1: `execve("/home/chrapache/", ["/home/chrapache/", "/usr/sbin/apache2"], [/* 17 vars */]) = -1 EACCES (Permission denied)'
niestety nie rozumiem o co chodzi, macie może jakieś pomysły?
p.s: czy wogóle takie zabezpieczenie serwera jest dobrym pomysłem czy może proponujecie coś innego?
Pozdrawiam
Offline
Zainteresuj się skryptami jailkit lub makejail, a odpalanie apacha spróbuj zrobić tak:
chroot /katalog-chroot /etc/init.d/apache2 start
Offline
Jeśli interesuje Cię [i]security by isolation[/i], prawdopodobnie lepiej zainteresować się wirtualizacją. Wyjście z chroota wydaje się znacznie łatwiejsze niż wyjście z maszyny wirtualnej.
Przy okazji truizm: chroot czy maszyna wirtualna nie zapewnią żadnego bezpieczeństwa Apachowi. Jest to dodatkowa warstwa na którą natknie się włamywacz przy próbie penetrowania całego systemu po tym jak złamie Apacha. Jednak Twoim obowiązkiem jest niedopuszczenie do sytuacji, gdy Apache zostaje złamany.
Offline
[quote=Minio]Jeśli interesuje Cię [i]security by isolation[/i], prawdopodobnie lepiej zainteresować się wirtualizacją.[/quote]
Lub rozwiązaniem typu [deb]lxc[/deb] (coś jak jail z BSD).
Offline
[quote=Minio]Jeśli interesuje Cię [i]security by isolation[/i], prawdopodobnie lepiej zainteresować się wirtualizacją. Wyjście z chroota wydaje się znacznie łatwiejsze niż wyjście z maszyny wirtualnej.
Przy okazji truizm: chroot czy maszyna wirtualna nie zapewnią żadnego bezpieczeństwa Apachowi. Jest to dodatkowa warstwa na którą natknie się włamywacz przy próbie penetrowania całego systemu po tym jak złamie Apacha. Jednak Twoim obowiązkiem jest niedopuszczenie do sytuacji, gdy Apache zostaje złamany.[/quote]
Chroot ma sens wyłącznie w przypadku takiego małego [url=http://grsecurity.net/][b]drobiazgu[/b][/url]:
grep -i chroot config*gen4 CONFIG_GRKERNSEC_CHROOT=y CONFIG_GRKERNSEC_CHROOT_MOUNT=y CONFIG_GRKERNSEC_CHROOT_DOUBLE=y CONFIG_GRKERNSEC_CHROOT_PIVOT=y CONFIG_GRKERNSEC_CHROOT_CHDIR=y CONFIG_GRKERNSEC_CHROOT_CHMOD=y CONFIG_GRKERNSEC_CHROOT_FCHDIR=y CONFIG_GRKERNSEC_CHROOT_MKNOD=y CONFIG_GRKERNSEC_CHROOT_SHMAT=y CONFIG_GRKERNSEC_CHROOT_UNIX=y CONFIG_GRKERNSEC_CHROOT_FINDTASK=y CONFIG_GRKERNSEC_CHROOT_NICE=y CONFIG_GRKERNSEC_CHROOT_SYSCTL=y CONFIG_GRKERNSEC_CHROOT_CAPS=y # CONFIG_GRKERNSEC_CHROOT_EXECLOG is not set
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2010-12-30 13:08:06)
Offline
Time (s) | Query |
---|---|
0.00013 | SET CHARSET latin2 |
0.00007 | SET NAMES latin2 |
0.00186 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.143.5.161' WHERE u.id=1 |
0.00097 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.143.5.161', 1732282364) |
0.00066 | SELECT * FROM punbb_online WHERE logged<1732282064 |
0.00085 | DELETE FROM punbb_online WHERE ident='18.217.207.112' |
0.00093 | DELETE FROM punbb_online WHERE ident='3.139.87.113' |
0.00031 | SELECT topic_id FROM punbb_posts WHERE id=161590 |
0.00039 | SELECT id FROM punbb_posts WHERE topic_id=18006 ORDER BY posted |
0.00081 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=18006 AND t.moved_to IS NULL |
0.00008 | SELECT search_for, replace_with FROM punbb_censoring |
0.00142 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=18006 ORDER BY p.id LIMIT 0,25 |
0.00110 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=18006 |
Total query time: 0.00958 s |