Hallo miteinander.

Ich habe mich in letzter Zeit mit Chrooting von verschiedenen Diensten (Shoutcast-Server, Apache, Mysql) beschäftigt und auch erfolgreich unter Debian zustande gebracht.

Nun würde mich eure Meinung betreffend der Sicherheit von Diensten innerhalb von Chroot-Umgebungen interessieren, da der Installations- und Administrationsaufwand doch viel grösser ist, als bei einer normalen Installation. Ist dieser Mehraufwand gerechtfertigt?

Im Interneht sind ja mehrere Tutorials vorhanden, wie man aus einer Chroot-Umgebung ausbrechen kann.

Mfg Michi

chroot ist böse!
Das was du eher suchst wenn du dir schon soviel Mühe machst ist chrootuid wo das ganze unter einem anderem Benutzer ausgeführt wird.

chroot mit Rootrechten macht imho deshalb keinen Sinn weil es _sehr_ einfach ist auszubrechen. Vlt. ist ja das was du suchst Linux-vserver....

warum sollte chroot böse sein?

böse nicht, aber es bringt nix :-)

EDIT: wenn man Anwendungen drinnen laufen lässt, macht es doch keinen Sinn oder?

ähm, doch - ist doch auch ein recht weit verbreiteter Ansatz.

Die App läuft "unabhängig" vom darunter liegenden BS und hat nur Zugriff auf die von ihr benötigten Libs und Progs - anderer stehen ihr gar nicht zur Verfügung (z.B. kein wget, gcc, perl, div. andere tools die sonst bei einem reingeschmuggelten Script lustige Dinge machen können)

Ok, Pflege ist etwas komplexer und man handelt sich einiges an Redundanz ein...

Naja, ein wenig an Sicherheit bringt es ja schon, da, wie bereits erwähnt, nur die wichtigsten Dateien für die Usführung des Programmes in der Chroot befinden. Somit ist es es z.B auch nicht möglich, durch einen Exploit inietd auszunutzen oder ähnliches.

Bei mir läuft z.B Shoutcast in der Chroot-Umgebung unter dem nobody-benutzer, welcher auch nur Schreibrechte auf die Log-Dateien hat, ansonsten kann er nur lesen.

Mfg Michi