Re: Chrooting apache: bad user name www-data
-- domenica 12 ottobre 2003, alle 18:26, Lorenzo Micheli scrive: oggi stavo provando a chrootare apache Fare il chroot di apache (o di un qualunque altro server) e` sufficiente ad evitare i danneggiamenti di un'eventuale intrusione oppure e` solo una misura di sicurezza aggiuntiva da usare insieme ad un firewall o altro? Quello che vorrei sapere e` quanto influisce il chroot sulla sicurezza del sistema per capire se ritenerlo una misura indispensabile (da usare sempre) oppure solo un qualcosa di aggiuntivo. -- | Massimo ;-) | EMail: [EMAIL PROTECTED] * ICQ: 37930285 | (o_| |- http://digilander.libero.it/MaQ | (o- //\ -o) | | BABYLON 5 - http://digilander.libero.it/babylon5 | (/)_ V_/_ _(\) | | *TRIBOL* - http://digilander.libero.it/usstribolo| POWERED BY LINUX |
Re: Chrooting apache: bad user name www-data
Alle 21:33, domenica 12 ottobre 2003, Massimo ha scritto: Quello che vorrei sapere e` quanto influisce il chroot sulla sicurezza del sistema Se c'è per esempio il device del disco rigido in /dev del chroot un eventuale utente che riesce ad essere root nel chroot ha l'accesso a tutti i dati della macchina. Questo è tutto quello che so :) Penso si possa togliere /dev dal chroot, o almeno una sua parte, ma non ho mai provato. V.
Re: Chrooting apache: bad user name www-data
On Sun, Oct 12, 2003 at 09:33:17PM +0200, Massimo wrote: Fare il chroot di apache (o di un qualunque altro server) e` sufficiente ad evitare i danneggiamenti di un'eventuale intrusione oppure e` solo una misura di sicurezza aggiuntiva da usare insieme ad un firewall o altro? Quello che vorrei sapere e` quanto influisce il chroot sulla sicurezza del sistema per capire se ritenerlo una misura indispensabile (da usare sempre) oppure solo un qualcosa di aggiuntivo. un programma che gira chrootato in una determinata directory e come utente non root, vede tale directory come root dir (chroot=change root): tale programma non puo' uscire da li', per questo bisogna metterci dentro tutto il necessario (librerie, qualche dev, file di configurazione, ...). se questo programma e' un server e viene bucato, l'attaccante non puo' far niente al di fuori di questo ambiente. quindi anche se facesse rm -r / cancellerebbe solo la dir di chroot, e non l'intero filesystem. ovviente se tale server ha i permessi di root fa quello che vuole. -- Si nasce e si muore soli. Certo che in mezzo c'e' un bel casino. -- Da it.hobby.umorismo
Re: Chrooting apache: bad user name www-data
On Sun, 2003-10-12 at 21:33, Massimo wrote: Fare il chroot di apache (o di un qualunque altro server) e` sufficiente ad evitare i danneggiamenti di un'eventuale intrusione oppure e` solo una misura di sicurezza aggiuntiva da usare insieme ad un firewall o altro? Quello che vorrei sapere e` quanto influisce il chroot sulla sicurezza del sistema per capire se ritenerlo una misura indispensabile (da usare sempre) oppure solo un qualcosa di aggiuntivo. I servizi che si trovano in una jail chrootata incrementano il livello di sicurezza limitando il danno causato in caso che qualche ospite indesiderato riesca a loggarsi nel sistema. La chroot ridefinisce la root di un programma o di una sessione di login, cosi tutto cio' che si trova al di fuori della jail non e' visibile dall'interno della chroot! Per esempio i servizi che gli admin piu' paranoici possono chrootare possono essere: bind, ssh, ftp, apache, o addirittura syslog! Certo la chroot non e' indispensabile quanto un firewall ma dato che non causa nessun problema perche' non giocarci un po'? -- Lorenzo Micheli [EMAIL PROTECTED] signature.asc Description: This is a digitally signed message part
Re: Chrooting apache: bad user name www-data
-- domenica 12 ottobre 2003, alle 23:13, Lorenzo Micheli scrive: Per esempio i servizi che gli admin piu' paranoici possono chrootare possono essere: bind, ssh, ftp, apache, o addirittura syslog! Certo la chroot non e' indispensabile quanto un firewall ma dato che non causa nessun problema perche' non giocarci un po'? Grazie a tutti per le risposte. :) Per quanto riguarda la debian, ci sono servizi che per default vengono installati come chroot? -- | Massimo ;-) | EMail: [EMAIL PROTECTED] * ICQ: 37930285 | (o_| |- http://digilander.libero.it/MaQ | (o- //\ -o) | | BABYLON 5 - http://digilander.libero.it/babylon5 | (/)_ V_/_ _(\) | | *TRIBOL* - http://digilander.libero.it/usstribolo| POWERED BY LINUX |
Re: Chrooting apache: bad user name www-data
On Sun, 2003-10-12 at 23:31, Massimo wrote: Grazie a tutti per le risposte. :) Per quanto riguarda la debian, ci sono servizi che per default vengono installati come chroot? No, comunque non e' cosi difficile chroottare un servizio!Inoltre esistono dei tool fatti a posta come makejail, che purtroppo e' solo per sid/testing! Puoi trovare i sorgenti su http://www.floc.net/makejail/ . signature.asc Description: This is a digitally signed message part
Re: Chrooting apache: bad user name www-data
[Il 12/10/2003, alle 23:40] = Lorenzo Micheli scrive: On Sun, 2003-10-12 at 23:31, Massimo wrote: Grazie a tutti per le risposte. :) Per quanto riguarda la debian, ci sono servizi che per default vengono installati come chroot? No, postfix? cat /etc/postfix/master.cf # == # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) # == smtp inet n - - - - smtpd #628 inet n - - - - qmqpd pickupfifo n - - 60 1 pickup cleanup unix n - - - 0 cleanup qmgr fifo n - - 300 1 qmgr #qmgr fifo n - - 300 1 nqmgr rewrite unix - - - - - trivial-rewrite bounceunix - - - - 0 bounce defer unix - - - - 0 bounce flush unix n - - 1000? 0 flush proxymap unix - - n - - proxymap smtp unix - - - - - smtp relay unix - - - - - smtp # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5 showq unix n - - - - showq error unix - - - - - error local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - n - - lmtp parecchia roba é segnata come chroottata (ah, il neologism! ;) -- Franco la guerra rimane / nel buco di un millennio speso a riparare ogni frontiera artificiale / nell'odio sceso dentro le coscienze umane / la guerra chiede sempre il conto a chi rimane / e oggi faccio il mio dovere: il sabotatore Assalti Frontali
Re: Chrooting apache: bad user name www-data
Ho trovato quello che cercavo: mod_security e' un modulo che chrootta automaticamente apache senza dover preparare la jail! Vi pasto il link in caso serva a qualcuno: http://www.modsecurity.org/documentation/apache-internal-chroot.html Ah esiste anche il .deb ma solo per sid =( Spero di essere stato utile! Bye -- Lorenzo Micheli [EMAIL PROTECTED] signature.asc Description: This is a digitally signed message part
Re: Chrooting apache: bad user name www-data
On Sun, 2003-10-12 at 23:52, Franco Vite wrote: postfix? cat /etc/postfix/master.cf # == # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) # == smtpinet n - - - - smtpd #628inet n - - - - qmqpd pickup fifo n - - 60 1 pickup cleanup unix n - - - 0 cleanup qmgrfifo n - - 300 1 qmgr #qmgr fifo n - - 300 1 nqmgr rewrite unix - - - - - trivial-rewrite bounce unix - - - - 0 bounce defer unix - - - - 0 bounce flush unix n - - 1000? 0 flush proxymap unix- - n - - proxymap smtpunix - - - - - smtp relay unix - - - - - smtp # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5 showq unixn - - - - showq error unix- - - - - error local unix - n n - - local virtual unix - n n - - virtual lmtpunix - - n - - lmtp parecchia roba é segnata come chroottata (ah, il neologism! ;) Chiedo scusa non lo sapevo =) Comunque ora che ci penso credo che anche proftpd possa piu o meno essere considerato chroottato o facilmente chrootabile! -- Lorenzo Micheli [EMAIL PROTECTED] signature.asc Description: This is a digitally signed message part