The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Оценка безопасности текущей реализации chroot в Linux

27.09.2007 22:46

В списке рассылки разработчиков Linux ядра один из разработчиков представил патч устраняющий одну из проблем chroot() и поднял тему необходимости переработки реализации chroot в Linux. В настоящее время, если в изолированном окружении можно получить привилегии суперпользователя, то остается множество способов взаимодействия с внешним окружением (например, если процесс не изменил текущую директорию, то после chroot, в нее можно вернуться, схема - "mkdir foo; chroot foo; cd ..").

Другие разработчики пояснили: это стандартное поведение chroot(), которое никто не собирается исправлять. Chroot() не следует воспринимать как инструмент для обеспечения безопасности, он эффективен только в комплексных решениях, подобных BSD Jail или Linux vserver.

  1. Главная ссылка к новости (http://kerneltrap.org/Linux/Ab...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/12225-linux
Ключевые слова: linux, kernel, chroot
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (6) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, pavlinux (??), 00:56, 28/09/2007 [ответить]  
    		• +/
    Ну что сказать, пущай юзает GRsecurity.
     
  • 1.2, ZANSWER (??), 07:21, 28/09/2007 [ответить]  
    		• +/
    Старый спор, по сути, правы, как первые так и вторые, но я склоняюсь всё же к вторым, что chroot нужно использовать только в комплексной защите, если нужна защита, а не делать на нём всё, делая из него то, для чего он не предназначен...:)))
     
  • 1.3, Аноним (-), 13:29, 28/09/2007 [ответить]  
    		• +/
    ребята не делайте из мухи слона, chroot создавался не для обеспечения безопасности, хотите секьюрность используйте selinux
     
  • 1.4, _Nick_ (??), 05:08, 29/09/2007 [ответить]  
    		• +/
    > например, если процесс не изменил текущую
    > директорию, то после chroot, в нее можно
    > вернуться, схема - "mkdir foo; chroot foo; cd .."

    схема, откровенно говоря, - гумно.
    Потому как бинарь chroot делает 3 вещи:
    chroot("somedir")
    chdir("/")
    execve("......")

    т.е. следующая команда выполняеться уже имея и корнем и текущей дирой эту "somedir".

    Некуда там возвращаться.

     
     
  • 2.5, KdF (??), 17:34, 29/09/2007 [^] [^^] [^^^] [ответить]  
    		• +/
    Бинарь-то тут причём? Речь ведь идёт о системном вызове, насколько я понял.
     
     
  • 3.6, _Nick_ (??), 17:37, 29/09/2007 [^] [^^] [^^^] [ответить]  
    		• +/
    >Бинарь-то тут причём? Речь ведь идёт о системном вызове, насколько я понял.

    суть - да. Что chroot не трогает текущую диру.

    Но вот это вот, то, что указано в новости, на системные вызовы не похоже
    в своем написании (если совсем придраться - то все равно сискола "cd" не существует):

    "mkdir foo; chroot foo; cd .."

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру