Hallo Debianer,
ich würde gerne einen unprivilegierten Benutzer erstellen, welcher beim Einloggen (normaler Login oder su), sofort in einer chroot-Umgebung landet. Dieser Benutzer soll zwei Gameserver über screen starten können, muss also in der Lage diese(n) GameServer auszuführen. Ein Ausbrechen sollte sehr erschwert werden, also sollten keine root Prozesse laufen. GRSecurity habe ich bereits implementiert.
Wie erstelle ich eine solchen chroot-Benutzer, beziehungsweise beschränke ich diesen auf das Gameserver-Verzeichnis, ohne die screen Funktionalität zu verlieren.
Danke. Grüße René.
chroot-Benutzer erstellen
http://www.debian.org/doc/manuals/secur ... nv.de.html
listet einige möglichkeiten auf. einen wirklich einfachen weg dahin -also ein script mit dem man einfach einen user im chroot anlegt - hab ich bis heute leider nirgendwo gefunden.
wenn der nutzer nur ein programm starten soll, könnte das auch mit rbash gehen. weiss ich aber nicht genau. rbash verhindert aber alle bewegungen, bietet aber eine shell.
listet einige möglichkeiten auf. einen wirklich einfachen weg dahin -also ein script mit dem man einfach einen user im chroot anlegt - hab ich bis heute leider nirgendwo gefunden.
wenn der nutzer nur ein programm starten soll, könnte das auch mit rbash gehen. weiss ich aber nicht genau. rbash verhindert aber alle bewegungen, bietet aber eine shell.
-
meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
-
meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
-
meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
-
meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
nein - die chroot barrier beim vserver funkt. ganz anders - da kommt man nicht drüber - außer man schreibt den source code patcht den kernel und compiliert sich einen kernel ---> dann kann man sich seinen eigenen server hacken - that's indeed nonsense, but possiblestartx hat geschrieben:@meandtheshell
hm, naja, der übergang von einer extrem weit getriebenen chroot/jail umgebung zu einem vserver ist ja fast fliessend
zu freeBSD jail kann ich nichts sagen - docu usw. gelesen habe ich aber praktische Erfahung habe ich nicht
markus
Zuletzt geändert von meandtheshell am 02.10.2005 17:34:00, insgesamt 1-mal geändert.
kennst du das hier:
http://www.jmcresearch.com/projects/jail/
ist das was anderes als ein normales chroot?
http://www.jmcresearch.com/projects/jail/
ist das was anderes als ein normales chroot?
-
meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
nur überflogen:startx hat geschrieben:kennst du das hier:
http://www.jmcresearch.com/projects/jail/
ist das was anderes als ein normales chroot?
so wie es aussieht eben nicht - d.h. userspace tool - da liegt ja das problem - beim vserver ist das im kernel drinnen - ich glaube auch nicht das es das freeBSD Jail ist - nur namesgleichheit
freebsd Jail:
http://docs.freebsd.org/44doc/papers/jail/jail.html
wenn du zeit hast lies beides einmal durch und sag ob nur namesgleichheit besteht oder ob es sich um dasselbe handel ... dann berichte uns - danke
markus
werd ich mal tun.
ich hab grad das hier überflogen :
"Entkommen aus einer CHROOT() Umgebung unter Linux"
http://www.little-idiot.de/ChrootEntkommen.pdf
dort gibt er als beispiel das chrlogin.c zum anlegen von chroots wobei mir noch nicht
ganz klar ist ob er das als positives beispiel meint. im wesentlichen muss ich doch verhindern, dass der user ugo+x rechte vergeben kann, so wie ich das bei ftp mit umask machen kann. hm, naja, ich les mich mal ein ....
ich hab grad das hier überflogen :
"Entkommen aus einer CHROOT() Umgebung unter Linux"
http://www.little-idiot.de/ChrootEntkommen.pdf
dort gibt er als beispiel das chrlogin.c zum anlegen von chroots wobei mir noch nicht
ganz klar ist ob er das als positives beispiel meint. im wesentlichen muss ich doch verhindern, dass der user ugo+x rechte vergeben kann, so wie ich das bei ftp mit umask machen kann. hm, naja, ich les mich mal ein ....