View Full Version : chroot for security
houtanal
دوشنبه 27 تیر 1384, 20:51 عصر
سلام
در چندین manuel به خصوس برای ایمن سازی Apache و MySQL توصیه هایی برای chroot کردن این دو خوندم
آیا الزاما نیاز به این کار هست با توجه به این که با اجرای deamon برنامه تحت نام یک کاربر محدود تقریبا چنین هدفی برآورده می شود
کلا برادرانی که اطلاعات و تجربه ای در این زمینه دارند لطف می فرماییند اگر بنده رو هم آگاه کنند
oxygenws
سه شنبه 28 تیر 1384, 00:45 صبح
درست می گی....
اما در صورت به وجود اومدن یک باگ در یکی از سرویس ها (سرور ها) می تونه مشکلات اساسی ای پیش بیاد...
که در صورت chroot کردن، چنین مشکلاتی هم پیش نمیاد.
در آخر بگم که *می تونه* chroot کردن زیاد کار ساده ای نباشه، *ممکنه* این کار باعث بشه کل ساختار سیستم عاملت رو بهم بریزی یا حتی به نوعی بیخیال *برخی* سرویس ها بشی یا ...
Inprise
سه شنبه 28 تیر 1384, 08:00 صبح
فایدهء مهم Chroot ایجاد یک Sandbox برای پروسه یا سرویس مورد نظر است که به لحاظ امنیتی قابل مقایسه با مجوزهای امنیتی نیست ؛ فرض کن یکی موفق بشه نقطهء ضعف خاصی روی یکی از عناصر اصلی لینوکس پیدا کنه که بتونه بهش کمک کنه از طریق یک کاربر محدود ( مثلا" nobody ) و با اجرای دستوری خاص یا تزریق ورودی غیر مجاز به کامپوننت به خصوصی مجوز خودش رو تا حد یک سوپر یوزر افزایش بده ( بقول معروف Privilage Scalation ) ؛ با این پیش فرض ، کافیه فرد مذکور موفق بشه با استفاده از نقیصه ای در وب سرور یا نرم افزارهای نصب شده ( مثلا" همون phpBB2ی خودمون ) به اکانت nobody دسترسی پیدا کنه و ... ؛ ایجاد یک Sandbox برای یک پروسه باعث میشه تحت هیچ عنوان ، امکان دسترسی به خارج از اون فضا ، از داخل ، وجود نداشته باشه ؛ با استفاده از این توضیحات میتونی برای Apache براحتی یک Sandbox یا اصطلاحا" Chroot Jail ایجاد کنی :
http://www.faqs.org/docs/securing/chap29sec254.html
موفق باشید
oxygenws
چهارشنبه 29 تیر 1384, 18:39 عصر
با استفاده از این توضیحات میتونی برای Apache براحتی یک Sandbox یا اصطلاحا" Chroot Jail ایجاد کنی
یه توضیح مختصر روی این صحبت اینپرایز عزیز.....
و از اونجایی که خودم چنین مشکلی داشتم.....
تغییر روت آپاچی، می تونه به راحتی خیلی برنامه های دیگه مثل CPanel که کنترل کل سیستم و ساختارش دستشون هست رو از کار بندازه!!
Inprise
چهارشنبه 29 تیر 1384, 18:44 عصر
این حرفها مال وقتیه که تو قرار نیست همه چیز رو از اول بسازی ، یا قرار نیست همه چیز رو کنترل کنی ؛ که صد البته در این صورت معمولا" مجوز و اختیار Chroot رو هم نباید داشته باشی که در این حالت اصلا" بحث محل مناقشه نیست . لیکن وقتی همه چیز در اختیار مدیر سیستمه ، تنظیمات و راه اندازی Chroot Jail روی یک سرویس کار ساده ایه و میشه براحتی بقیه سیستمها رو برای هماهنگی رو اون کانفیگ کرد ؛
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.