информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsВсе любят мед
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Ноябрьский перевыпуск октябрьского... 
 Закопать Flash 
 Октябрьские патчи от MS и перевыпуск... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / software
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
а ОС позволяет монтировать подкаталоги из /proc как каталоги локальных ФС? 16.12.03 20:03  Число просмотров: 1511
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
Ёёё!
Попробовал у себя во фре4.8 такую фишку... Вроде все нормально, даже ls -l по смонтированному каталогу отработал. Но ls -l по родительскому для точки монтирования каталогу ушел в состояние D. Туда же ушли несколько попыток umount'а (с форсом в том числе) и повторная попытка пролистать сам смонтированный каталог :-(((
Похоже сервак теперь спасет только ребут, как бы ни было неприятно проводить эту процедуру на серваке :-(
М.б. Ваша ОС лучше справится с такой задачей ;-)
<software>
chroot4honeyd 16.12.03 18:50  
Автор: Al Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Уважаемый, All.
Задался целью запустить honeyd в chroot jail. Сделал следующее
#mkdir /var/jail
#cd /var/jail
#mkdir etc
#mkdir lib
#mkdir lib/i686
#mkdir var
#mkdir var/run
#mkdir var/log/
#mkdir /proc
#mkdir /usr
#mkdir /usr/local
#mkdir usr/local/bin
#mkdir usr/local/sbin
#mkdir usr/local/share
#mkdir usr/local/share/honeyd
#mkdir dev
#cp /usr/local/sbin/arpd usr/local/sbin/
#cp /usr/local/bin/honeyd usr/local/bin/
#cp /usr/local/share/honeyd/* usr/local/share/honeyd/
#cp /lib/i686/libc.so.6 lib/i686/
#cp /lib/ld-linux.so.2 lib/
#cp /lib/i686/libm.so.6 lib/i686/
#cp /lib/libdl.so.2 lib/
#cp /lib/ld-linux.so.2 lib/
#cp /etc/ld.so.cache etc/
#cp /etc/localtime etc/
#mknod dev/urandom c 1 9
#mount -t proc /proc/ proc/

$sudo chroot /var/jail /usr/local/sbin/arpd -d 192.168.0.0/24
$sudo chroot /var/jail /usr/local/bin/honeyd -d -f \
/usr/local/share/honeyd/honeyd.conf 192.168.0.0/24

В принципе, все работает. Но на мой взгляд, то что приходится давать доступ к
/proc (запрашивается /proc/net/dev) не есть надежно. Можно ли
поступить другим образом? Любые замечания и рекомендации приветствуются.
а этот honeyd после старта под юзера переходит? 16.12.03 19:10  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
IMHO, где-то видел инфу, что root может вылезти из-под chroot'а, но м.б. речь шла о какой-то специфичной конфигурации системы (точно не помню уже).
да, такая вероятнось есть, но мне здесь другое не нравиться 16.12.03 19:30  
Автор: Al Статус: Незарегистрированный пользователь
<"чистая" ссылка>
а именно - необходимость давать доступ к /proc/net/dev, а как это сделать не монтируя весь раздел /proc я не догадался. если иметь доступ к /proc то выломиться из клетки еще легче.
а ОС позволяет монтировать подкаталоги из /proc как каталоги локальных ФС? 16.12.03 20:03  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
Ёёё!
Попробовал у себя во фре4.8 такую фишку... Вроде все нормально, даже ls -l по смонтированному каталогу отработал. Но ls -l по родительскому для точки монтирования каталогу ушел в состояние D. Туда же ушли несколько попыток umount'а (с форсом в том числе) и повторная попытка пролистать сам смонтированный каталог :-(((
Похоже сервак теперь спасет только ребут, как бы ни было неприятно проводить эту процедуру на серваке :-(
М.б. Ваша ОС лучше справится с такой задачей ;-)
Э, стой! Погоди перезагружаться 16.12.03 22:36  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
> Ёёё!
> Попробовал у себя во фре4.8 такую фишку... Вроде все
> нормально, даже ls -l по смонтированному каталогу
> отработал. Но ls -l по родительскому для точки монтирования
> каталогу ушел в состояние D. Туда же ушли несколько попыток
> umount'а (с форсом в том числе) и повторная попытка
> пролистать сам смонтированный каталог :-(((
> Похоже сервак теперь спасет только ребут, как бы ни было
> неприятно проводить эту процедуру на серваке :-(
umount -l не спасет отца русской демократии?
поздно... с утра сервак ребутнул, не заходя на форум 17.12.03 11:25  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
> umount -l не спасет отца русской демократии?

Но в мануал сейчас заглянул. Однако там не нашлось упомянутого ключа. Причем не только у меня во фрях 4.8 и 5.1, но и на доступном линуксе и на 8-ой солярке. Где это живет umount с таким ключиком?
странно... 17.12.03 11:37  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
> > umount -l не спасет отца русской демократии?
>
> Но в мануал сейчас заглянул. Однако там не нашлось
> упомянутого ключа. Причем не только у меня во фрях 4.8 и
> 5.1, но и на доступном линуксе и на 8-ой солярке. Где это
> живет umount с таким ключиком?

Не знаю как во фре, но в линуксе, как раз, и есть этот ключ.

-l Lazy unmount. Detach the filesystem from the
filesystem hierarchy now, and cleanup all refer-
ences to the filesystem as soon as it is not busy
anymore. (Requires kernel 2.4.11 or later.)
линукс мне попался весьма древний 17.12.03 19:18  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
> Не знаю как во фре, но в линуксе, как раз, и есть этот
> ключ.

Сам /bin/umount в подручной системе от 1999 года.

> anymore. (Requires kernel 2.4.11 or later.)

Да еще и ядро 2.2.х

Но будь у меня новее линукс где-то рядом, один фиг реанимировать подвисшие из-за ФС процессы на фре это бы не помогло :-(
2chroot4ho... 17.12.03 18:41  
Автор: Al Статус: Незарегистрированный пользователь
<"чистая" ссылка>
обладая несколько нудным характером, вернусь к началу тему.
honeyd для работы требует рутовых привелегий - это минус.
а частичным плюсом есть то, что работает с только одним процессом /proc/net/dev -> mount --bind -t proc /proc/net iail/proc/net
дает хоть какую то иллюзию.
Вывод, в таких условиях из chroot jail можно выломиться.
Если есть замечания, выслушаю с удовольствием.
есть тут еще одна мысль по теме 17.12.03 19:56  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
> а частичным плюсом есть то, что работает с только одним
> процессом /proc/net/dev -> mount --bind -t proc
> /proc/net iail/proc/net

Не процессом, а файлом наверно?
Только я не понял, этот хитрый вызов mount'а только /proc/net в chroot'е организует?

> дает хоть какую то иллюзию.
> Вывод, в таких условиях из chroot jail можно выломиться.

К сожалению, я не в курсе, что можно через /proc/net сотворить.

> Если есть замечания, выслушаю с удовольствием.

Если дрессируемая прога с сырцами, то ее можно переделать, либо изменив политику работы с /proc/net/dev (допустим, чтоб оно его открывало в начале работы и сразу после этого само chroot() делало), либо научив работать с net/dev через какой-нить файл-прокси (мелкую утилиту, которая по запросам через файл-сокеты или еще по каким-то каналам выдает инфу из требуемого файла). Утилита, разумеется, должна запускаться не в chroot'е, но она мелкая, значит по замыслу правильная с т.з. безопасности.
да 18.12.03 09:19  
Автор: Al Статус: Незарегистрированный пользователь
<"чистая" ссылка>
>> /proc/net/dev -> mount --bind -t proc /proc/net iail/proc/net
> /proc/net в chroot'е организует?
да

> > Вывод, в таких условиях из chroot jail можно выломиться.
> К сожалению, я не в курсе, что можно через /proc/net
> сотворить.
я тоже, но пожалуй. это не означает что уйти нельзя.
>
> Если дрессируемая прога с сырцами, то ее можно переделать,

;) ну дык, что ж остается
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach