Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1334 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Chroot + Mount Bind = Sécurité ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Chroot + Mount Bind = Sécurité ?

n°448475
Snipe Foo
Head Shot !!!
Posté le 03-04-2004 à 12:46:35  profilanswer
 

Bonjour,
 
Imaginons :  
 - un serveur apache qui est chrooté dans /chroot/httpd et qui publie des pages située dans /chroot/httpd/var/www
 - un serveur ftp qui est chrooté dans /chroot/ftpd
 
Si on veut utiliser le serveur ftp pour mettre à jour les pages web, il est nécessaire de faire communiquer les 2 jails (!!!)
 
Voilà ce qu'il me viendrait à l'esprit :
- Un repertoire /var/www qui contiendrait mes pages
- un mount --bind /var/www /chroot/httpd/var/www qui donnerait acces au serveur web aux pages à publier
- un mount --bind /var/www /chroot/ftpd/var/www qui donnerait acces au serveur ftp aux pages à mettre à jour.
 
Et maintenant les questions :
 
- Est ce que ça va fonctionner ?
- Est ce que la sécurité des jails continue d'etre assurée ?
- Est ce qu'il éxiste une méthode plus académique pour ce faire ?
 
Merci par avance pour vos réponses :)

mood
Publicité
Posté le 03-04-2004 à 12:46:35  profilanswer
 

n°448628
Tomate
Posté le 03-04-2004 à 19:00:56  profilanswer
 

les jails ne sont pas si secure que ca
 
grsec (patch secu kernel) modifie pas mal de choses a ce sujet ;)


---------------
:: Light is Right ::
n°448655
nikosaka
Posté le 03-04-2004 à 20:25:16  profilanswer
 

ouai les chroots c est plutot emmerdant et ça n apporte pas plus de sécu si ton noyau n'est pas patché (grsec)
 
Utilises plutot systrace, un port d' openbsd

n°448700
Snipe Foo
Head Shot !!!
Posté le 03-04-2004 à 21:41:20  profilanswer
 

tomate77 a écrit :

les jails ne sont pas si secure que ca


OK, raison de plus pour me renseigner avant de compromettre "encore plus" leur sécurité ;)
PS : pour GRSec, je l'utilise dés qu'il sera "officiel" pour ma version de noyau.
 

nikosaka a écrit :

Utilises plutot systrace, un port d'openbsd


La periode de tunning de systrace est assez importante alors que la mise en place de chroot est assez rapide. Dés que j'aurais le temps je completerais chroot avec des regles systrace :)

n°448966
Tomate
Posté le 04-04-2004 à 15:11:14  profilanswer
 

Snipe Foo a écrit :


OK, raison de plus pour me renseigner avant de compromettre "encore plus" leur sécurité ;)
PS : pour GRSec, je l'utilise dés qu'il sera "officiel" pour ma version de noyau.
 
 
La periode de tunning de systrace est assez importante alors que la mise en place de chroot est assez rapide. Dés que j'aurais le temps je completerais chroot avec des regles systrace :)

ca te sert a koi d attendre ?


---------------
:: Light is Right ::
n°449000
Snipe Foo
Head Shot !!!
Posté le 04-04-2004 à 22:34:48  profilanswer
 

Je comprend pas vraiment ta question ...

n°449078
Tomate
Posté le 05-04-2004 à 00:34:18  profilanswer
 

Snipe Foo a écrit :

Je comprend pas vraiment ta question ...

bah grsec est pleinement operationnel, pas besoin d attendre


---------------
:: Light is Right ::
n°449242
Snipe Foo
Head Shot !!!
Posté le 05-04-2004 à 11:33:16  profilanswer
 

Sur le site de grsecurity, la derniere version stable correspond aux noyau 2.4, hors, j'utilise un noyau 2.6. J'attend donc que la version correspondante à mon noyau soit "stable".
 
Ma premiere question reste ouverte :)

n°449249
Snipe Foo
Head Shot !!!
Posté le 05-04-2004 à 11:40:02  profilanswer
 

JoWiLe a écrit :

le meilleur moyen d'accroitre la sécurité liée à Bind, c'est de le remplacer par djbdns.... ;)


Le meilleur moyen de répondre a coté d'une question, c'est de ne pas la lire :na: Ma question ne porte pas sur "bind" (le serveur dns) mais sur "mount" avec l'option "bind" :)

n°449345
GUG
Posté le 05-04-2004 à 13:25:56  profilanswer
 

[:rofl]
 
en parlant de djbdns qq un aurait de la doc :??:


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Chroot + Mount Bind = Sécurité ?

 

Sujets relatifs
[mdk10] logiciel de test de sécurité genre XscanSOS cherche info sur sécurité du poste de travail
sécurité réseaubind et dns en générale
chroot impossible (reiserfs inside ?) [resolu]chroot des logins pour le FTP [résolu]
sous domaine sous bind[ Sécurité ] l'Ext3 et les droits sous windows
mount cdromutiliser la cde mount pour le lecteur de disquette
Plus de sujets relatifs à : Chroot + Mount Bind = Sécurité ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR