GwenDragon
Registered User
Ja, eine chrooted Umgebung ist einigermaßen sicher. Bis irgendjemand von deinen Kunden ein Loch findet und dann böses tut.
Ansonsten könnte dir SELinux helfen Rechte der Nutzer noch weiter einzuschränken.
Ansonsten könnte dir SELinux helfen Rechte der Nutzer noch weiter einzuschränken.
d4f
Kaffee? Wo?
Chroot ist solange sicher wie kein Prozess darin mit Root-Rechten ausgefuehrt wird (ob real UID oder executive UID).
Mit den in den vergangenen Monaten für meinen Geschmack zu oft gefunden Root-Exploits im Linux-Kernel ist ein Chroot nicht als "Non-plus-Ultra" der Einschraenkung an zu sehen.
Mit den in den vergangenen Monaten für meinen Geschmack zu oft gefunden Root-Exploits im Linux-Kernel ist ein Chroot nicht als "Non-plus-Ultra" der Einschraenkung an zu sehen.
chris14
New Member
Danke für die schnelle Antwort. Ich weiß ja nicht ob ihr auch Kundenaccounts auf dem Server habt, aber wenn ja, bietet ihr euren Kunden FTP an? Es bleibt ja nur FTP und SSH. Sichert ihr den FTP ab?
Der FTP Server ist halt ein häufiges Ziel und nach dem Remote Exploit bei Proftpd ist das Image noch schlechter als wie es eh schon war.
Ich dachte mir schon den FTP vielleicht nur über die Server ip erreichbar zu machen und nen Proxy einzurichten über den die Kunden dann auf den FTP Zugreifen können.
Chris
Der FTP Server ist halt ein häufiges Ziel und nach dem Remote Exploit bei Proftpd ist das Image noch schlechter als wie es eh schon war.
Ich dachte mir schon den FTP vielleicht nur über die Server ip erreichbar zu machen und nen Proxy einzurichten über den die Kunden dann auf den FTP Zugreifen können.
Chris
GwenDragon
Registered User
Einfach mal lesen inwieweit chroot "sicher" ist:
http://www.little-idiot.de/ChrootEntkommen.pdf
http://www.bpfh.net/simes/computing/chroot-break.html
http://www.little-idiot.de/ChrootEntkommen.pdf
http://www.bpfh.net/simes/computing/chroot-break.html
Joe User
Zentrum der Macht
Solange der aktuelle diesbezügliche Bug in glibc nicht gefixt und der Fix von den Distributoren ausgeliefert wird, ist chroot definitiv nicht sicher.
Desweiteren funktionieren noch diverse ältere Exploits beziehunsweise Designschwächen, so dass man chroot nicht als alleiniges Feature zur Erhöhung des Schwierigkeitsgrads für potentielle Angreifer einsetzen sollte.
Wenn Du etwas deutlich sichereres möchtest, dann kommst Du an den Jails von FreeBSD/OpenBSD nicht vorbei.
Desweiteren funktionieren noch diverse ältere Exploits beziehunsweise Designschwächen, so dass man chroot nicht als alleiniges Feature zur Erhöhung des Schwierigkeitsgrads für potentielle Angreifer einsetzen sollte.
Wenn Du etwas deutlich sichereres möchtest, dann kommst Du an den Jails von FreeBSD/OpenBSD nicht vorbei.