OpenForum RSS: Раздел полезных советов: Подготовка chroot-окружения в Debia... https://www.opennet.dev/openforum/vsluhforumID3/60069.html Для создания chroot-окружения в Debian или Ubuntu можно использовать пакет debootstrap, а для управления - schroot.<br><br> apt-get install debootstrap<br><br>Создадим минимальный chroot в Ubuntu:<br><br> debootstrap --variant=buildd --arch i386 hardy /home/chroot_web http://archive.ubuntu.com/ubuntu/<br><br>в Debian:<br><br> debootstrap --arch i386 lenny /home/chroot_web http://ftp.us.debian.org/debian<br><br>при этом в Ubuntu можно создавать chroot на базе Debian и наоборот.<br><br>Для последующей установки пакетов из chroot копируем файлы конфигурации APT и резолвера:<br><br> cp /etc/resolv.conf /home/chroot_web/etc/resolv.conf<br> cp /etc/apt/sources.list /home/chroot_web/etc/apt/<br><br>Заходим в chroot-окружение:<br><br> sudo chroot /home/chroot_web<br><br>Устанавливаем в нем apache:<br><br> apt-get update<br> apt-get install apache2<br><br>Устанавливаем необходимые для работы и сборки пакетов составляющие:<br><br> apt-get --no-install-recommends install wget debconf devscripts gnupg<br> apt-get update<br><br>Конфигурируем локаль:<br><br> apt-get install locales Подготовка chroot-окружения в Debian или Ubuntu (jura12) https://www.opennet.dev/openforum/vsluhforumID3/60069.html#21 Fri, 13 Nov 2009 01:14:24 GMT вы не написали зачем все это надо, какие преимущества и недостатки. вкрадце вводную надо было дать.<br> Подготовка chroot-окружения в Debian или Ubuntu (sjinks) https://www.opennet.dev/openforum/vsluhforumID3/60069.html#20 Sat, 24 Oct 2009 16:02:36 GMT &gt;chroot в chroot и fchdir <br>&gt;<br>&gt;От этого ведб стандартными способами не защитишся <br><br>Да, только второй chroot() можно сделать, если у демона есть CAP_SYS_CHROOT (т.е. если демон под рутом сидит).<br><br>Обычный пользователь делать chroot() не умеет.<br><br>http://linux.die.net/man/2/chroot<br><br> Подготовка chroot-окружения в Debian или Ubuntu (mma) https://www.opennet.dev/openforum/vsluhforumID3/60069.html#19 Sat, 24 Oct 2009 15:36:49 GMT chroot в chroot и fchdir<br><br>От этого ведб стандартными способами не защитишся<br> Подготовка chroot-окружения в Debian или Ubuntu (sjinks) https://www.opennet.dev/openforum/vsluhforumID3/60069.html#18 Sat, 24 Oct 2009 13:11:06 GMT &gt;я не правильно выразился, но суть думаю понятна как можно выйти за <br>&gt;пределы chroot <br><br>Без рутовых привилегий и при условии, что у демона нет открытых файлов/каталогов вне chroot это всё же проблематично.<br><br>&gt;и почему он не особо полезен без подсистем безопасности? <br><br>chroot изначально не проектировался как средство безопасности. Тем не менее, chroot() + chdir() + setuid() = неплохой дополнительный барьер для хакера.<br><br> Подготовка chroot-окружения в Debian или Ubuntu (mma) https://www.opennet.dev/openforum/vsluhforumID3/60069.html#17 Fri, 23 Oct 2009 15:12:02 GMT я не правильно выразился, но суть думаю понятна как можно выйти за пределы chroot и почему он не особо полезен без подсистем безопасности?<br> Подготовка chroot-окружения в Debian или Ubuntu (sjinks) https://www.opennet.dev/openforum/vsluhforumID3/60069.html#16 Fri, 23 Oct 2009 11:44:10 GMT &gt; нужно как минимум запретить чрутитьтся всем кроме root<br><br>А с каких пор CAP_SYS_CHROOT есть у кого-то, кроме рута?<br> Подготовка chroot-окружения в Debian или Ubuntu (User294) https://www.opennet.dev/openforum/vsluhforumID3/60069.html#15 Fri, 23 Oct 2009 01:36:18 GMT &gt; OpenVZ, как и любую другую виртуаль, очень накладно держать для каждого<br>&gt; сервиса раздельно.<br><br>И в чем эта накладность состоит? Оно не виртуаль в общем то, а просто резатель ресурсов крутой. Тот же чрут но только сильно более правильный. Поэтому просадка скорости от опенвзы - не больно какая заметная. А вот интересные фенечки оно зато умеет. Ну и можно содержать систему с 5 процессами - один из которых инит а второй sshd к тому же будет.Как раз по контейнеру на сервис. Нифига оно не накладно, строго говоря. Если задаться целью его минимизировать - это можно.Скажем нафиг в контейнере стандартные утилсы и прочая, если оно может жить на ФС хоста и управляться оттуда?Как бонус - если хакер сломает что-то, он попадет в вроде как машину но какую-то сильно неудобную и неполноценную, где вредительствовать особо не дают :)<br><br>Из плюсов - хаксор не сможет грузить модули ядра даже будучи рутом (вза сие отшивает) и дуракозащищенность - повыше.Например недавний сплойт повышающий права до рута на взе вообще не работал, Подготовка chroot-окружения в Debian или Ubuntu (shutdown now) https://www.opennet.dev/openforum/vsluhforumID3/60069.html#14 Wed, 21 Oct 2009 18:30:22 GMT есть такой апач: Apache 2 ITK MPM и Peruser MPM, но всё не так просто, как кажется, в результате он медленнее и ресурсов ему больше нужно<br> Подготовка chroot-окружения в Debian или Ubuntu (mma) https://www.opennet.dev/openforum/vsluhforumID3/60069.html#13 Tue, 20 Oct 2009 03:58:45 GMT но при этом чрут сам посебе не назовешь полноценной изоляцией, нужно как минимум запретить чрутитьтся всем кроме root (ну и еще какие то мелочи не помню), поэтому без grsecurity или selinux чрут сам по себе только усложняет жизнь взломщику но не предотращает взлом<br>