Re: [admin] jail (again)
On Tue, 14 May 2002 20:06:59 +0700 (GMT+0700) Adrian Soetanto <[EMAIL PROTECTED]> wrote: > Rekan miliser, > Saya mau tanya masalah jail: > 1. > Jika kita men-chroot user's account pakai jail, maka "prompt" dari user > itu berubah menjadi: > jail-2.04$ > gimana yah cara ngubahnya supaya tetap seperti aslinya --> [user@host]$ ? ga pernah maen chroot :)) tapi, untuk prompt bisa dimainken di variabel environment $PS1. mungkin bisa di masukkan di home direktori user, dalam file .bashrc atau .bash_profile export PS1=[\u@\h \W]\$ > > 2. > Bagaimana supaya bisa resolv domain name ? waktu saya coba telnet pakai > IP, bisa... tapi kalo pake domain name, nggak bisa ketemu IP address-nya. di / yang baru, ada file /etc/resolv.conf ? -- Yahoo! Messenger: st1llg0tth3blu3s ICQUIN : 131877402 -- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3
Re: [admin] jail (again)
On Wed, 15 May 2002 [EMAIL PROTECTED] wrote: > mungkin bisa di masukkan di home direktori user, dalam file .bashrc atau >.bash_profile > export PS1=[\u@\h \W]\$ thanx sudah kasih tanggapan :-) iya yah.. ternyata bisa, soalnya waktu saya coba copy file .bash_profile punya user lain, ternyata untuk variabel PS1 nggak ada :( > di / yang baru, ada file /etc/resolv.conf ? maaf sebelumnya, yg saya maksud itu waktu telnet nama_domain tidak bisa tetapi kalo pake IP address bisa... dan kalo jalankan command "host" juga bisa me-resolv... sorry :-) file itu sudah ada di /chroot-dir/etc/ -nya, dan isinya sama persis dg file resolv.conf yg ada di /etc/ saya coba men-disable bagian nameserver pd resolv.conf, lalu saya jalankan: $ host mail.telkom.net output-nya: ;; connection timed out; no servers could be reached lalu saya enable lagi nameserver pd resolv.conf, pada waktu saya coba jalankan : $ host mail.telkom.net output-nya: mail.telkom.net. has address 202.134.0.12 berarti file resolv.conf -nya sudah jalan, tetapi mungkin telnet client yg tidak bisa me-resolv domain name... mungkin krn efek dari chroot ? jadi pertanyaan saya, gimana supaya telnet/ssh client bisa me-resolve domain name dalam keadaan ter-chroot ? -- thanx, Adrian -- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3
Re: [admin] jail (again)
On Thu, May 16, 2002 at 11:54:47AM +0700, Adrian Soetanto wrote: > berarti file resolv.conf -nya sudah jalan, tetapi mungkin telnet client > yg tidak bisa me-resolv domain name... mungkin krn efek dari chroot ? > jadi pertanyaan saya, gimana supaya telnet/ssh client bisa me-resolve > domain name dalam keadaan ter-chroot ? check permission resolv.conf, host.conf dan nsswitch.conf di chroot jail (kalau ada). Salam, P.Y. Adi Prasaja -- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3
Re: [admin] jail (again)
Sudah saya cek dan permission sudah benar... -rwxr-xr-x1 root root 67 May 16 11:27 resolv.conf -rwxr-xr-x1 root root 28 May 14 18:17 host.conf -rwxr-xr-x1 root root 1750 May 14 19:00 nsswitch.conf BTW, apa sih gunanya file nsswitch.conf, saya sudah baca man-nya tapi kok masih kurang jelas ? Apakah punya anda bisa menjalankan "$ telnet hostname" dengan benar ? Saya juga mau tanya gimana caranya supaya kita tetap bisa pakai ftp dalam keadaan ter-chroot, apakah ftp server juga harus dijalankan di chroot dir? -- Thanx, Adrian On Fri, 17 May 2002, adi wrote: > check permission resolv.conf, host.conf dan nsswitch.conf > di chroot jail (kalau ada). > > Salam, > > P.Y. Adi Prasaja -- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3
Re: [admin] jail (again)
On Fri, May 17, 2002 at 11:43:54AM +0700, Adrian Soetanto wrote: > BTW, apa sih gunanya file nsswitch.conf, saya sudah baca man-nya tapi kok > masih kurang jelas ? nsswitch.conf dipakai sebagai rujukan program-program yang menggunakan library call untuk memanggil rutin-rutin yang berkaitan dengan nameservices misalnya dns, services, passwd, group dll. tentunya tergantung programnya sengaja dibuat perlu nsswitch.conf atau tidak. contoh libwrap, ada yang punya option untuk compiled in, sehingga /etc/host.allow,deny bisa dipakai, kalau tidak diinclude, ya otomatis host.allow,deny diabaikan. kira-kira begitu. > Apakah punya anda bisa menjalankan "$ telnet hostname" dengan benar ? > Saya juga mau tanya gimana caranya supaya kita tetap bisa pakai ftp dalam > keadaan ter-chroot, apakah ftp server juga harus dijalankan di chroot dir? sorry, mailnya jadi panjang :-) [root@krapu /jail]# pwd /jail [root@krapu /jail]# ls -l etc total 36 -rw-r--r--1 root root 33 Jun 21 2001 fstab -rw-r--r--1 root root 27 May 17 16:58 host.conf -rw-r--r--1 root root 22 May 17 17:00 hosts -rw-r--r--1 root root 280 May 17 17:01 nsswitch.conf -rw-r--r--1 root root 944 Jun 21 2001 passwd -rw-r--r--1 root root 40 May 17 16:54 resolv.conf -rw-r--r--1 root root11349 May 17 17:00 services [root@krapu /jail]# ls -l lib total 2292 -rwxr-xr-x1 root root91608 Jun 21 2001 ld-linux.so.2 -rwxr-xr-x1 root root 1186220 Jun 21 2001 libc.so.6 -rwxr-xr-x1 root root 367719 May 17 16:55 libnsl.so.1 -rwxr-xr-x1 root root77677 May 17 16:56 libnss_dns.so.2 -rwxr-xr-x1 root root 242320 May 17 16:59 libnss_files.so.2 -r-xr-xr-x1 root root44963 Jun 21 2001 libproc.so.2.0.7 -rwxr-xr-x1 root root 231844 May 17 16:57 libresolv.so.2 -rwxr-xr-x1 root root12224 Jun 21 2001 libtermcap.so.2 -rwxr-xr-x1 root root52467 May 17 16:53 libutil.so.1 [root@krapu /jail]# ls -l usr/lib total 264 -rwxr-xr-x1 root root 262884 May 17 16:54 libncurses.so.4 [root@krapu /jail]# chrootuid /jail adi telnet telnet> open www.playboy.com 80 Trying 209.247.228.201... Connected to www.phat.playboy.com. Escape character is '^]'. HEAD / HTTP/1.0 HTTP/1.1 302 Moved Temporarily Server: Netscape-Enterprise/3.6 SP3 Date: Fri, 17 May 2002 10:04:13 GMT Set-Cookie: dest=http://63.210.100.11/; domain=.playboy.com; path=/ Location: http://www.playboy.com/zmega.html Connection: close Connection closed by foreign host. Saya perlu meletakkan libncurses.so.4 di /jail/usr/lib karena telnet client di tempat saya butuh library tsb. libnss* adalah library yang diperlukan oleh routine yang, salah satunya, merujuk ke nsswitch.conf. nameserver point ke 127.0.0.1 (local). Kalau saran saya, sebaiknya utils yang anda letakkan di /jail compiled statically, supaya tidak perlu mengcopy semua libs yang diperlukan di chroot jail. Contoh saya cuman quick and dirty saja, berhubung males recompile :-) Salam, P.Y. Adi Prasaja -- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3
Re: [admin] jail (again)
On Fri, May 17, 2002 at 11:43:54AM +0700, Adrian Soetanto wrote: > Saya juga mau tanya gimana caranya supaya kita tetap bisa pakai ftp dalam > keadaan ter-chroot, apakah ftp server juga harus dijalankan di chroot dir? maaf, yang ini kelewatan. yang di atas ini bisa seluruh service ftp dilakukan di chroot directory, berikut user-user yang ftp. jadi, semacam membuat dua (well, bisa lebih dari dua :-) sistem, yang salah satunya dijalankan didalam chroot jail. alternative lain, chroot() call dilakukan oleh ftpd. jadi sebenarnya ftpd tidak run chrooted, tapi begitu ada client, langsung client tsb. dichroot. ada juga mirip alternatif ke dua, sebenarnya tidak benar-benar melakukan chroot() tapi cuman tidak mau mengeksekusi perintah cdup sampai keluar homedir :-) ke tiga alternatif di atas, saya tulis urut berdasarkan derajat/level security, mulai dari yang paling secure ke yang tidak secure. well, ini versi saya, jangan dipercaya :-))) note: penilaian security _hanya_ saya lihat dari bagaimana melakukan chroot saja, tidak memperhitungkan tingkat security program dan sistem. dengan kata lain, peringkat security yang diatas itu belum apa-apa. banyak pakar yang bilang kalau chrooted service bukan atau tidak menentukan tingkat security anyway. Salam, P.Y. Adi Prasaja -- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3
Re: [admin] jail (again)
Trims Bung Adi atas tanggapannya... Saya juga maaf kalo email saya panjang sekali :) Berikut hasil percobaan saya: [root@fox chroot]# pwd /var/chroot [root@fox chroot]# ls -l etc/ total 840 -rw-r--r--1 root root 201 May 14 19:35 group -rw-r--r--1 root root 28 May 14 18:17 host.conf -rw-r--r--1 root root 170 May 14 18:17 hosts -rwxr-xr-x1 root root35420 May 14 19:42 ld.so.cache -rw-r--r--1 root root 1750 May 14 19:00 nsswitch.conf -rw-r--r--1 root root 184 May 14 19:35 passwd -rw-r--r--1 root root 67 May 16 11:27 resolv.conf -rw-r--r--1 root root17639 May 14 19:00 services -rw-r-1 root root 261 May 14 19:35 shadow [root@fox chroot]# ls -l lib/ total 8672 -rwxr-xr-x1 root root 441668 May 14 19:42 ld-linux.so.2 -rwxr-xr-x1 root root 5578134 May 14 19:42 libc.so.6 -rwxr-xr-x1 root root78220 May 14 19:42 libdl.so.2 -rwxr-xr-x1 root root 617360 May 13 19:32 libm.so.6 -rwxr-xr-x1 root root 457198 May 14 19:42 libnsl.so.1 -rwxr-xr-x1 root root 269926 May 14 19:00 libnss_files.so.2 -rwxr-xr-x1 root root 331284 May 14 18:17 libnss_nisplus.so.2 -rwxr-xr-x1 root root35352 May 14 18:43 libpam.so.0 -rwxr-xr-x1 root root 558014 May 14 19:42 libpthread.so.0 -rwxr-xr-x1 root root 271077 May 14 18:17 libresolv.so.2 -rwxr-xr-x1 root root12120 May 14 18:31 libtermcap.so.2 -rwxr-xr-x1 root root60915 May 14 18:43 libutil.so.1 [root@fox chroot]# ls -l usr/lib/ total 3764 -rwxr-xr-x1 root root 869430 May 14 19:42 libcrypto.so.1 -rwxr-xr-x1 root root 1427155 May 14 19:42 libdns.so.4 -rwxr-xr-x1 root root29050 May 14 18:17 libgdbm.so.2 -rwxr-xr-x1 root root 228055 May 14 19:42 libisc.so.3 -rwxr-xr-x1 root root45350 May 14 18:17 liblber.so.2 -rwxr-xr-x1 root root 202590 May 14 18:17 libldap.so.2 -rwxr-xr-x1 root root 257524 May 14 19:00 libncurses.so.5 -rwxr-xr-x1 root root 177511 May 14 19:00 libreadline.so.4.1 -rwxr-xr-x1 root root 288245 May 14 18:17 libsasl.so.7 -rwxr-xr-x1 root root 203837 May 14 18:17 libssl.so.1 -rwxr-xr-x1 root root60112 May 14 18:43 libz.so.1 drwxr-xr-x3 root root 4096 May 13 19:31 locale [root@fox chroot]# chrootuid /var/chroot/ guest \ > /usr/bin/telnet mail.telkom.net 80 mail.telkom.net: Unknown host [root@fox chroot]# chrootuid /var/chroot/ guest \ > /usr/bin/host mail.telkom.net mail.telkom.net. has address 202.134.0.12 [root@fox chroot]# chrootuid /var/chroot guest \ > /usr/bin/telnet 202.134.0.12 80 Trying 202.134.0.12... Connected to 202.134.0.12. Escape character is '^]'. Connection closed by foreign host. Dari percobaan saya di atas berarti sebenarnya masalahnya pada telnet client yg tidak bisa me-resolv domain name, apa mungkin karena ada libs yg belum disertakan di chroot dir ? BTW, maksudnya utils di-compile scr statis itu bagaimana ? oh ya, kalau mau install program di chroot dir khan pake addjailsw, lalu kalau mau install libs bagaimana caranya ? -- thanx, Adrian On Fri, 17 May 2002, adi wrote: > Saya perlu meletakkan libncurses.so.4 di /jail/usr/lib karena telnet > client di tempat saya butuh library tsb. libnss* adalah library > yang diperlukan oleh routine yang, salah satunya, merujuk ke nsswitch.conf. > nameserver point ke 127.0.0.1 (local). > > Kalau saran saya, sebaiknya utils yang anda letakkan di /jail compiled > statically, supaya tidak perlu mengcopy semua libs yang diperlukan > di chroot jail. Contoh saya cuman quick and dirty saja, berhubung > males recompile :-) > > Salam, > > P.Y. Adi Prasaja -- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3
Re: [admin] jail (again)
On Sat, May 18, 2002 at 04:02:57PM +0700, Adrian Soetanto wrote: > Dari percobaan saya di atas berarti sebenarnya masalahnya pada telnet > client yg tidak bisa me-resolv domain name, apa mungkin karena ada > libs yg belum disertakan di chroot dir ? apa isi nsswitch.conf? kalau di tempat anda pakai nss_db misalnya, maka library yang dibutuhkan perlu dicopy juga ke chroot jail. atau nsswitch.conf di chroot jail diedit supaya tidak merefer atau menggunakan nss_db. > BTW, maksudnya utils di-compile scr statis itu bagaimana ? semua function build statically, jadi tidak lagi perlu/menggunakan shared library. coba lihat option autoconf (configure script), barangkali menyediakan option ini. untuk gcc sendiri, gunakan option -static. > oh ya, kalau mau install program di chroot dir khan pake addjailsw, > lalu kalau mau install libs bagaimana caranya ? ehem .. saya buat /jail sendiri (tidak saya gunakan, cuman buat main-main saja) :-) anyway, ya tinggal dicopy saja ke chroot jail, sesuai hirarki directorynya. Salam, P.Y. Adi Prasaja -- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3
Re: [admin] jail (again)
Bung Adi, Berikut ini adl ringkasan setting yg ada pd nsswitch.conf saya : -- hosts: files nisplus dns ethers: files netmasks: files networks: files protocols: files nisplus rpc:files services: files nisplus netgroup: files nisplus publickey: nisplus automount: files nisplus aliases:files nisplus -- Apakah benar jika menggunakan entry "db" berarti menggunakan nss_db ? Jika benar, nsswitch.conf saya tdk ada yg me-refer ke nss_db khan, tapi kok tetap aja telnet client tdk bisa resolv domain name ? Jika salah, utk meng-edit nsswitch.conf supaya tidak me-refer nss_db, bagian mana yg perlu diubah entry-nya ? Lalu saya coba cari library apa saja yg dibutuhkan telnet : [root@topimerah chroot]# rpm -qR telnet rpmlib(PayloadFilesHavePrefix) <= 4.0-1 ld-linux.so.2 libc.so.6 libncurses.so.5 libutil.so.1 libc.so.6(GLIBC_2.0) libc.so.6(GLIBC_2.1) libc.so.6(GLIBC_2.1.3) rpmlib(CompressedFileNames) <= 3.0.4-1 Setelah saya cek, semua files sudah ada di /var/chroot/lib/ kecuali rpmlib tidak ada, tapi kenapa masih tidak bisa "telnet hostname" ? Sekedar mengingatkan, kalau dicoba command "host mail.telkom.net" bisa ketahuan IP Address nya :) -- Thanx berat & maaf kalau email saya terlalu panjang :) Adrian On Sat, 18 May 2002, adi wrote: > apa isi nsswitch.conf? kalau di tempat anda pakai nss_db misalnya, > maka library yang dibutuhkan perlu dicopy juga ke chroot jail. > atau nsswitch.conf di chroot jail diedit supaya tidak merefer > atau menggunakan nss_db. -- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3
Re: [admin] jail (again)
On Mon, May 20, 2002 at 07:06:04PM +0700, Adrian Soetanto wrote: > hosts: files nisplus dns lebih baik, 'nisplus' dihapus untuk simplicity. kecuali anda mau mengcopy juga library yang diperlukan untuk NIS ke chroot jail. (memang perlu NIS). ini juga berlaku untuk yang dibawah ini. > ethers: files > netmasks: files > networks: files > protocols: files nisplus > rpc:files > services: files nisplus > netgroup: files nisplus > publickey: nisplus > automount: files nisplus > aliases:files nisplus > -- > Apakah benar jika menggunakan entry "db" berarti menggunakan nss_db ? > Jika benar, nsswitch.conf saya tdk ada yg me-refer ke nss_db khan, tapi > kok tetap aja telnet client tdk bisa resolv domain name ? kemungkinan macet karena anda memasukkan nisplus, kecuali anda menggunakan 'reaction on lookup result' [NOTFOUND=return]. tetapi kalau tidak perlu NIS ya dilibas saja. hmm.. ya, karena anda tidak pakai option 'db', mestinya tidak perlu mengcopy library nss_db ke chroot jail. > Jika salah, utk meng-edit nsswitch.conf supaya tidak me-refer nss_db, > bagian mana yg perlu diubah entry-nya ? yang ini tidak perlu. kebetulan saya terbiasa pakai nss_db, mimpinya kan menghandle jutaan user <*just kidding*>, jadi waktu 'main-main' kemarin gagal lantaran saya asal saja meng-copy nsswitch.conf ke chroot jail. jadi kepikiran, siapa tahu anda punya kebiasaan yang sama dengan saya he..he.. > Lalu saya coba cari library apa saja yg dibutuhkan telnet : > [root@topimerah chroot]# rpm -qR telnet hmm.. coba pastikan tidak ada yang tertinggal dengan, periksa dengan 'ldd': % ldd /path/to/telnet kalau ada yang kelupaan, masukkan ke juga chroot jail. satu lagi, ini 'pamungkas', setelah ini saya tidak dapat membantu anda lagi, berikutnya harus melangkah sendiri untuk mendapat pencerahan.. he..he.. jadi ingat matrix :p - copykan strace ke chroot jail, misalnya ke /jail/bin - copykan semua library yang dipakai untuk menjalankan strace (ldd strace). - jadi root jalankan 'chroot /jail' (asumsi: anda menggunakan layout sama dengan saya, seperti contoh saya yang terdahulu, kalau tidak cocok ya disesuaikan saja :-) - jalankan di chroot jail: % strace telnet mail.telkom.net 25 boom.. anda akan dapat pencerahan :-))) may the force with you. selamat jalan semoga sukses. Salam, P.Y. Adi Prasaja -- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3
Re: [admin] jail (again)
On Mon, 20 May 2002, adi wrote: > satu lagi, ini 'pamungkas', setelah ini saya tidak dapat > membantu anda lagi, berikutnya harus melangkah sendiri > untuk mendapat pencerahan.. he..he.. jadi ingat matrix :p Aduh maaf nih buat rekan-rekan milis dan terutama Bung Adi yg sudah banyak membantu saya, ternyata masalahnya ada pada file library libnss_dns-2.2.2.so yg tidak di-sym link oleh "addjailsw", setelah saya coba buat sym link dg nama libnss_dns.so.2, .ternyata bisa !! hehehe... nggak terasa kalo saya sudah banyak belajar dari Anda hanya karena masalah jail saja :-) Thanx berat nih Bung Adi dan maaf sudah banyak merepotkan anda :) -- Salam, Adrian -- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3
