msg Freitag 21 Februar 2003 09:34 by Marc Beyerlin: > Desweiteren hab ich was entdeckt was ganz interessant klingt. > Es gibt ein tool namens makejail, welches anscheinend einem die arbeit > abnimmt. Bin gerade dabei es zu testen. > http://www.floc.net/makejail/current/doc/ > > Wenn sich sonst noch jemand damit beschäftigt, wär ich für einen > erfahrungsaustausch.
es gibt eine recht alte, doch gute Seite auf http://www.gsyc.inf.uc3m.es/~assman/jail/ man sollte sich beim chrooted apache darueber klar sein, dass ALLES sonst benoetigte mit unter chroot angelegt werden muss, z.B. wenn chroot = /var/www dann benoetige ich je nach einsatzzweck /var/www/lib ../bin etc. einfacher test - was nach /var/www/usr soll: (whereis nslookup :- ) ldd /usr/sbin/nslookup /usr/sbin/nslookup: -lc.28 => /usr/lib/libc.so.28.5 (0x40028000) einen LAMPS chrooted zu betreiben, ist schon ganz schoen ueberdimensioniert; steht Sicherheit im Vordergrund, bietet es sich an entweder mit iptables oder pf einen 'interception proxy' zu betreiben, (OBSD) - rdr on tl0 proto tcp from any to any port 80 -> 127.0.0.1 port 8080 (linux2.4.x) - iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination $HTTP_IP der apache selbst laeuft an einem hohen port als nicht-privilegierter user, der auch keine login-Rechte hat - typischerweise nobody. Damit wird das Risiko einer bindshell bei einem buffer overflow angriff extrem gering (theoretisch unmoeglich); was CGI-Skripte etc. anstellen koennen, muss jeder selbst ableuchten; und das Ganze kann man noch weiter sicherheitstechnisch verfeinern; so kann der apache an port 8080 durchaus chrooted sein und arbeitet nur als Secure Reverse Proxy fuer alle Applikationsserver, die hinter einer 2. Firewall sitzen, (wo die 'malicious user' gewoehnlich aus dem Firmen-LAN kommen) :- Gruss -- . ___ | | Irmund Thum | | -------------------------------------------------------------------------- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --------------------------------------------------------------------------
