Discussion:
ftp security & chroot
VarnYu
2004-08-10 10:50:38 UTC
Permalink
Sziasztok,

Hosting szervert telepitek, ahol minden egyesz szolgaltatast kulon-kulon
chroot-ba raknam biztonsagi megfontolasokbol. Userek ftp-vel toltogetnek
weblapjaikat, de az ftp-t alapbol insecure-nak tekintem, tehat ot is
bezarnam chroot-ba. (nem tartom elegsegesnek az ftpd-k automatikus
chroot-olasat, mivel a master processz tovabbra is root-kent fut). Itt
jon a problema, a dupla chroot-olasos kerdes. Szivem szerint
grsecurity-vel a chroot-on beluli ujboli chroot-olast tiltanam, hogy egy
szolgaltatas esetleges toresevel megnehezitsem a host gephez valo
hozzaferest. Igy viszont az ftpd-t nem tudom bezarni.

Szerintetek mi a legmegfelelobb megoldas?

udv,
VarnYu
Kelemen Tamás
2004-08-10 11:29:56 UTC
Permalink
Szia!

A külön-külön chroot nem jó megoldás mert az apachnak látnia kell az ftp-n
felrakott fájlokat. Webhostinghoz ez a két szolgáltatás elég is. SQL-t el lehet
érni IP-n keresztül is, akkor neki lehet masik chroot. Ezt a chrootban chroot
dolgot nem igazán értem, de szerintem nincs is rá igazán szükség.
Post by VarnYu
Sziasztok,
Hosting szervert telepitek, ahol minden egyesz szolgaltatast kulon-kulon
chroot-ba raknam biztonsagi megfontolasokbol. Userek ftp-vel toltogetnek
weblapjaikat, de az ftp-t alapbol insecure-nak tekintem, tehat ot is
bezarnam chroot-ba. (nem tartom elegsegesnek az ftpd-k automatikus
chroot-olasat, mivel a master processz tovabbra is root-kent fut). Itt
jon a problema, a dupla chroot-olasos kerdes. Szivem szerint
grsecurity-vel a chroot-on beluli ujboli chroot-olast tiltanam, hogy egy
szolgaltatas esetleges toresevel megnehezitsem a host gephez valo
hozzaferest. Igy viszont az ftpd-t nem tudom bezarni.
Szerintetek mi a legmegfelelobb megoldas?
udv,
VarnYu
_______________________________________________
linux++ mailing list
http://mlf.linux.rulez.org/mailman/listinfo/linux++
---
Üdvözlettel: Kelemen Tamás
***@klte-gyakorlo.sulinet.hu
VarnYu
2004-08-10 11:54:33 UTC
Permalink
Szia,

En fogalmaztam rosszul. Hosting-hoz tartozik meg mail, dns, sql,
stbstb.... Ezek kerulnek kulon-kulon chroot-ba. Apache mehet ftp-vel
egyutt egy jailbe, de semmikepp nemakarok eles, publikus szolgaltatast a
host rendszerbe telepiteni. Ha alkalmazom a grsecurity chroot protection
opciojat (ami megved a dupla chrootolas altal hostrendszerhez
hozzaferunk hibatol) akkor viszont a juzer home-jaba nemtud az ftpd
bechroot-olni.

udv,
VarnYu
Post by Kelemen Tamás
Szia!
A külön-külön chroot nem jó megoldás mert az apachnak látnia kell az ftp-n
felrakott fájlokat. Webhostinghoz ez a két szolgáltatás elég is. SQL-t el lehet
érni IP-n keresztül is, akkor neki lehet masik chroot. Ezt a chrootban chroot
dolgot nem igazán értem, de szerintem nincs is rá igazán szükség.
Post by VarnYu
Sziasztok,
Hosting szervert telepitek, ahol minden egyesz szolgaltatast kulon-kulon
chroot-ba raknam biztonsagi megfontolasokbol. Userek ftp-vel toltogetnek
weblapjaikat, de az ftp-t alapbol insecure-nak tekintem, tehat ot is
bezarnam chroot-ba. (nem tartom elegsegesnek az ftpd-k automatikus
chroot-olasat, mivel a master processz tovabbra is root-kent fut). Itt
jon a problema, a dupla chroot-olasos kerdes. Szivem szerint
grsecurity-vel a chroot-on beluli ujboli chroot-olast tiltanam, hogy egy
szolgaltatas esetleges toresevel megnehezitsem a host gephez valo
hozzaferest. Igy viszont az ftpd-t nem tudom bezarni.
Szerintetek mi a legmegfelelobb megoldas?
udv,
VarnYu
_______________________________________________
linux++ mailing list
http://mlf.linux.rulez.org/mailman/listinfo/linux++
---
Üdvözlettel: Kelemen Tamás
_______________________________________________
linux++ mailing list
http://mlf.linux.rulez.org/mailman/listinfo/linux++
Erno Rigo
2004-08-10 12:15:44 UTC
Permalink
On Tuesday 10 August 2004 13.54, VarnYu wrote:

Szia!

Letezik olyan ftpd (ilyen pl: glftpd, wu-ftpd), ami tud "soft" es "hard"
chrootot, vagyis megúszhatod a duplázást, ha soft chrootot alkalmazol.

Egyéb:

http://www.google.com/search?hl=en&lr=&ie=UTF-8&c2coff=1&q=ftpd+22soft+chroot%
22&btnG=Search

Az apaccsal sem kell egybe chrootolni egyébként az ftpd-t, elég, ha bind
opcióval átmountolod az userek könyvtárait az egyik chrootból a másikba.

Szintén megoldás lehet az UML:

http://www.google.com/search?q=user%20mode%20linux&ie=UTF-8&oe=UTF-8
Post by VarnYu
Szia,
En fogalmaztam rosszul. Hosting-hoz tartozik meg mail, dns, sql,
stbstb.... Ezek kerulnek kulon-kulon chroot-ba. Apache mehet ftp-vel
egyutt egy jailbe, de semmikepp nemakarok eles, publikus szolgaltatast a
host rendszerbe telepiteni. Ha alkalmazom a grsecurity chroot protection
opciojat (ami megved a dupla chrootolas altal hostrendszerhez
hozzaferunk hibatol) akkor viszont a juzer home-jaba nemtud az ftpd
bechroot-olni.
udv,
VarnYu
Post by Kelemen Tamás
Szia!
A külön-külön chroot nem jó megoldás mert az apachnak látnia kell az ftp-n
felrakott fájlokat. Webhostinghoz ez a két szolgáltatás elég is. SQL-t el
lehet érni IP-n keresztül is, akkor neki lehet masik chroot. Ezt a
chrootban chroot dolgot nem igazán értem, de szerintem nincs is rá igazán
szükség.
Post by VarnYu
Sziasztok,
Hosting szervert telepitek, ahol minden egyesz szolgaltatast kulon-kulon
chroot-ba raknam biztonsagi megfontolasokbol. Userek ftp-vel toltogetnek
weblapjaikat, de az ftp-t alapbol insecure-nak tekintem, tehat ot is
bezarnam chroot-ba. (nem tartom elegsegesnek az ftpd-k automatikus
chroot-olasat, mivel a master processz tovabbra is root-kent fut). Itt
jon a problema, a dupla chroot-olasos kerdes. Szivem szerint
grsecurity-vel a chroot-on beluli ujboli chroot-olast tiltanam, hogy egy
szolgaltatas esetleges toresevel megnehezitsem a host gephez valo
hozzaferest. Igy viszont az ftpd-t nem tudom bezarni.
Szerintetek mi a legmegfelelobb megoldas?
--
Ernõ Rigó [McRee] - ICQ#63266198 - Tel#+36-20-5209965
--
Tavaly 4000 gyalogost gázoltak el! Idén több lesz!
Éliás Tamás István
2004-08-10 15:30:42 UTC
Permalink
Udv.
Post by Erno Rigo
Az apaccsal sem kell egybe chrootolni egyébként az ftpd-t, elég, ha bind
opcióval átmountolod az userek könyvtárait az egyik chrootból a másikba.
Nekem a bind-el az volt a gondom, hogy ha a kovetkezo helyzet allt elo

/shared
/vinyo1
/vinyo2

es a vinyo1-2 a shared-be volt mountolva, akkor a /home/jancsi/shared,
ahol a shared a /shared bind-je volt nem latszott...
Sickboy
2004-08-10 19:28:44 UTC
Permalink
Post by Erno Rigo
Letezik olyan ftpd (ilyen pl: glftpd, wu-ftpd), ami tud "soft" es "hard"
chrootot, vagyis megúszhatod a duplázást, ha soft chrootot alkalmazol.
Ez a megoldas, de ha mar ilyen chrootos miegymasos rendszert epitesz, akkor
valassz rendes ftpd-t. (Aminek az about leirasaban az elso 2 mondatban benne
van, hogy azert csinaltak, hogy biztonsagos legyen.)
(imho vs vagy pure)


.SiCk of IT.

Éliás Tamás István
2004-08-10 15:27:39 UTC
Permalink
Hali!
Post by Kelemen Tamás
A külön-külön chroot nem jó megoldás mert az apachnak látnia kell az ftp-n
felrakott fájlokat. Webhostinghoz ez a két szolgáltatás elég is. SQL-t el
En ugy oldottam meg, h apache+php 1 chroot, vsftpd egy masik chroot es a
shell userek egy harmadik chroot.
Mindegyik chroot kornyezet ala bemountolom a home directorykat, amik egy
kulon particion vannak (/sda8). (Nem bindelem, mert az nem jo chroothoz)
A mysql-re meg annyi a megoldas, h a mysql-t ugy kell feltelepiteni, h a
/var-ban levo mysql.socket-et elerje a masik chroot is. En a mysql
adminisztraciot csak localbol engedem, a chrootolt shellekbol...
Éliás Tamás István
2004-08-10 15:23:26 UTC
Permalink
Hali!
Post by VarnYu
bezarnam chroot-ba. (nem tartom elegsegesnek az ftpd-k automatikus
chroot-olasat, mivel a master processz tovabbra is root-kent fut). Itt
Ugyanilyen megfontolasbol hasznalok vsftpd-t. Annyi kulonbseggel, h a
vsftpd-t nem chrootolom, eppen azert, mert a usereket egyenkent a vsftpd
chrootolja az o kis konyvtarukba. (A grsecurity patch pedig megakadalyozza
szamomra a chrootba chrootolast, es imo felesleges is, mert a vsftpd van
annyira secure megoldas.) Az ftp kontroll es adatfolyamot is TLS v1
segitsegevel titkositom. Ezt tamogatja -vegre- a vsftpd.
(http://vsftpd.beasts.org)
Post by VarnYu
Szerintetek mi a legmegfelelobb megoldas?
Szerintem a vsftpd+ssl+vsftpdalltalvegzettchroot
:(
Éliás Tamás István
2004-08-10 15:33:26 UTC
Permalink
Udv.
Post by Éliás Tamás István
Szerintem a vsftpd+ssl+vsftpdalltalvegzettchroot
:(
Bocs, angol bill...
:)
Loading...