[linux-support] Security Frage: Shell in /bin/false
Gaudenz Steinlin
gaudenz at soziologie.ch
Mon Mar 30 18:26:14 CEST 2009
On Mon, Mar 30, 2009 at 05:47:44PM +0200, Markus Wernig wrote:
>
>
> rene moser wrote:
>
> >> Das, was die Sicherheit ganz entscheidend verbessert, ist, dem
> >> Apache-User die Ausführung der Shell ganz zu untersagen (braucht aber
> >> einiges an Konfiguration, damit danach noch alles funzt).
> >
> > Grsecurity, AppArmor oder SELinux lässt grüssen...
>
> Ja, das geht auch. Die billige Variante fürs Grobe (dafür nur 99%
> wirksam) ist chroot.
Beim chroot ist dann aber zentral, dass innerhalb des chroot nur
vertrauenswürdige Binaries vorhanden sind. Gelingt es mit einem dieser
Programme "beliebigen" Code als root auszuführen, dann ist die ganze
Sicherheit dahin. Auch darf der Dienst im chroot nicht als root laufen.
Root kann trivial aus jedem chroot ausbrechen. Code
dazu kann ich sonst liefern, das haben wir doch mal an einem Treff
diskutiert. Chroots sind nicht als sicherheitsfeature erfunden worden!
Deshalb muss man hier sehr genau wissen was man tut und was das chroot
bringt (in einigen Fällen kann es sehr wohl etwas bringen!).
Gruss Gaudenz
--
Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better.
~ Samuel Beckett ~
More information about the Linux-support
mailing list