Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
да, такая вероятнось есть, но мне здесь другое не нравиться 16.12.03 19:30 Число просмотров: 2145
Автор: Al Статус: Незарегистрированный пользователь
|
а именно - необходимость давать доступ к /proc/net/dev, а как это сделать не монтируя весь раздел /proc я не догадался. если иметь доступ к /proc то выломиться из клетки еще легче.
|
<software>
|
chroot4honeyd 16.12.03 18:50
Автор: Al Статус: Незарегистрированный пользователь
|
Уважаемый, All.
Задался целью запустить honeyd в chroot jail. Сделал следующее
#mkdir /var/jail
#cd /var/jail
#mkdir etc
#mkdir lib
#mkdir lib/i686
#mkdir var
#mkdir var/run
#mkdir var/log/
#mkdir /proc
#mkdir /usr
#mkdir /usr/local
#mkdir usr/local/bin
#mkdir usr/local/sbin
#mkdir usr/local/share
#mkdir usr/local/share/honeyd
#mkdir dev
#cp /usr/local/sbin/arpd usr/local/sbin/
#cp /usr/local/bin/honeyd usr/local/bin/
#cp /usr/local/share/honeyd/* usr/local/share/honeyd/
#cp /lib/i686/libc.so.6 lib/i686/
#cp /lib/ld-linux.so.2 lib/
#cp /lib/i686/libm.so.6 lib/i686/
#cp /lib/libdl.so.2 lib/
#cp /lib/ld-linux.so.2 lib/
#cp /etc/ld.so.cache etc/
#cp /etc/localtime etc/
#mknod dev/urandom c 1 9
#mount -t proc /proc/ proc/
$sudo chroot /var/jail /usr/local/sbin/arpd -d 192.168.0.0/24
$sudo chroot /var/jail /usr/local/bin/honeyd -d -f \
/usr/local/share/honeyd/honeyd.conf 192.168.0.0/24
В принципе, все работает. Но на мой взгляд, то что приходится давать доступ к
/proc (запрашивается /proc/net/dev) не есть надежно. Можно ли
поступить другим образом? Любые замечания и рекомендации приветствуются.
|
|
а этот honeyd после старта под юзера переходит? 16.12.03 19:10
Автор: LLL <Алексей> Статус: Member
|
IMHO, где-то видел инфу, что root может вылезти из-под chroot'а, но м.б. речь шла о какой-то специфичной конфигурации системы (точно не помню уже).
|
| |
да, такая вероятнось есть, но мне здесь другое не нравиться 16.12.03 19:30
Автор: Al Статус: Незарегистрированный пользователь
|
а именно - необходимость давать доступ к /proc/net/dev, а как это сделать не монтируя весь раздел /proc я не догадался. если иметь доступ к /proc то выломиться из клетки еще легче.
|
| | |
а ОС позволяет монтировать подкаталоги из /proc как каталоги локальных ФС? 16.12.03 20:03
Автор: LLL <Алексей> Статус: Member
|
Ёёё!
Попробовал у себя во фре4.8 такую фишку... Вроде все нормально, даже ls -l по смонтированному каталогу отработал. Но ls -l по родительскому для точки монтирования каталогу ушел в состояние D. Туда же ушли несколько попыток umount'а (с форсом в том числе) и повторная попытка пролистать сам смонтированный каталог :-(((
Похоже сервак теперь спасет только ребут, как бы ни было неприятно проводить эту процедуру на серваке :-(
М.б. Ваша ОС лучше справится с такой задачей ;-)
|
| | | |
Э, стой! Погоди перезагружаться 16.12.03 22:36
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
> Ёёё! > Попробовал у себя во фре4.8 такую фишку... Вроде все > нормально, даже ls -l по смонтированному каталогу > отработал. Но ls -l по родительскому для точки монтирования > каталогу ушел в состояние D. Туда же ушли несколько попыток > umount'а (с форсом в том числе) и повторная попытка > пролистать сам смонтированный каталог :-((( > Похоже сервак теперь спасет только ребут, как бы ни было > неприятно проводить эту процедуру на серваке :-( umount -l не спасет отца русской демократии?
|
| | | | |
поздно... с утра сервак ребутнул, не заходя на форум 17.12.03 11:25
Автор: LLL <Алексей> Статус: Member
|
> umount -l не спасет отца русской демократии?
Но в мануал сейчас заглянул. Однако там не нашлось упомянутого ключа. Причем не только у меня во фрях 4.8 и 5.1, но и на доступном линуксе и на 8-ой солярке. Где это живет umount с таким ключиком?
|
| | | | | |
странно... 17.12.03 11:37
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
> > umount -l не спасет отца русской демократии? > > Но в мануал сейчас заглянул. Однако там не нашлось > упомянутого ключа. Причем не только у меня во фрях 4.8 и > 5.1, но и на доступном линуксе и на 8-ой солярке. Где это > живет umount с таким ключиком?
Не знаю как во фре, но в линуксе, как раз, и есть этот ключ.
-l Lazy unmount. Detach the filesystem from the
filesystem hierarchy now, and cleanup all refer-
ences to the filesystem as soon as it is not busy
anymore. (Requires kernel 2.4.11 or later.)
|
| | | | | | |
линукс мне попался весьма древний 17.12.03 19:18
Автор: LLL <Алексей> Статус: Member
|
> Не знаю как во фре, но в линуксе, как раз, и есть этот > ключ.
Сам /bin/umount в подручной системе от 1999 года.
> anymore. (Requires kernel 2.4.11 or later.)
Да еще и ядро 2.2.х
Но будь у меня новее линукс где-то рядом, один фиг реанимировать подвисшие из-за ФС процессы на фре это бы не помогло :-(
|
| | | | | | |
2chroot4ho... 17.12.03 18:41
Автор: Al Статус: Незарегистрированный пользователь
|
обладая несколько нудным характером, вернусь к началу тему.
honeyd для работы требует рутовых привелегий - это минус.
а частичным плюсом есть то, что работает с только одним процессом /proc/net/dev -> mount --bind -t proc /proc/net iail/proc/net
дает хоть какую то иллюзию.
Вывод, в таких условиях из chroot jail можно выломиться.
Если есть замечания, выслушаю с удовольствием.
|
| | | | | | | |
есть тут еще одна мысль по теме 17.12.03 19:56
Автор: LLL <Алексей> Статус: Member
|
> а частичным плюсом есть то, что работает с только одним > процессом /proc/net/dev -> mount --bind -t proc > /proc/net iail/proc/net
Не процессом, а файлом наверно?
Только я не понял, этот хитрый вызов mount'а только /proc/net в chroot'е организует?
> дает хоть какую то иллюзию. > Вывод, в таких условиях из chroot jail можно выломиться.
К сожалению, я не в курсе, что можно через /proc/net сотворить.
> Если есть замечания, выслушаю с удовольствием.
Если дрессируемая прога с сырцами, то ее можно переделать, либо изменив политику работы с /proc/net/dev (допустим, чтоб оно его открывало в начале работы и сразу после этого само chroot() делало), либо научив работать с net/dev через какой-нить файл-прокси (мелкую утилиту, которая по запросам через файл-сокеты или еще по каким-то каналам выдает инфу из требуемого файла). Утилита, разумеется, должна запускаться не в chroot'е, но она мелкая, значит по замыслу правильная с т.з. безопасности.
|
| | | | | | | | |
да
18.12.03 09:19
Автор: Al Статус: Незарегистрированный пользователь
|
>> /proc/net/dev -> mount --bind -t proc /proc/net iail/proc/net
> /proc/net в chroot'е организует? да
> > Вывод, в таких условиях из chroot jail можно выломиться. > К сожалению, я не в курсе, что можно через /proc/net > сотворить. я тоже, но пожалуй. это не означает что уйти нельзя.
> > Если дрессируемая прога с сырцами, то ее можно переделать,
;) ну дык, что ж остается
|
|
|