информационная безопасность без паники и всерьез  подробно о проекте
			Анализ криптографических сетевых...   Модель надежности двухузлового...   Специальные марковские модели надежности...   Очередное исследование 19 миллиардов...   Оптимизация ввода-вывода как инструмент...   Зловреды выбирают Lisp и Delphi
	главная обзор RSN блог библиотека закон бред форум dnet о проекте
	bugtraq.ru / форум / software		Имя Пароль

	если вы видите этот текст, отключите в настройках форума использование JavaScript

ФОРУМ
	все доски
	FAQ
	IRC
	новые сообщения
	site updates
	guestbook
	beginners
	sysadmin
	programming
	operating systems
	theory
	web building
	software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация

Легенда:   новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение

• Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
• Новичкам также крайне полезно ознакомиться с данным документом.

					поздно... с утра сервак ребутнул, не заходя на форум 17.12.03 11:25  Число просмотров: 2132 Автор: LLL <Алексей> Статус: Member <"чистая" ссылка>
					> umount -l не спасет отца русской демократии? Но в мануал сейчас заглянул. Однако там не нашлось упомянутого ключа. Причем не только у меня во фрях 4.8 и 5.1, но и на доступном линуксе и на 8-ой солярке. Где это живет umount с таким ключиком?
					<software>

chroot4honeyd 16.12.03 18:50   Автор: Al Статус: Незарегистрированный пользователь <"чистая" ссылка>

Уважаемый, All. Задался целью запустить honeyd в chroot jail. Сделал следующее #mkdir /var/jail #cd /var/jail #mkdir etc #mkdir lib #mkdir lib/i686 #mkdir var #mkdir var/run #mkdir var/log/ #mkdir /proc #mkdir /usr #mkdir /usr/local #mkdir usr/local/bin #mkdir usr/local/sbin #mkdir usr/local/share #mkdir usr/local/share/honeyd #mkdir dev #cp /usr/local/sbin/arpd usr/local/sbin/ #cp /usr/local/bin/honeyd usr/local/bin/ #cp /usr/local/share/honeyd/* usr/local/share/honeyd/ #cp /lib/i686/libc.so.6 lib/i686/ #cp /lib/ld-linux.so.2 lib/ #cp /lib/i686/libm.so.6 lib/i686/ #cp /lib/libdl.so.2 lib/ #cp /lib/ld-linux.so.2 lib/ #cp /etc/ld.so.cache etc/ #cp /etc/localtime etc/ #mknod dev/urandom c 1 9 #mount -t proc /proc/ proc/ $sudo chroot /var/jail /usr/local/sbin/arpd -d 192.168.0.0/24 $sudo chroot /var/jail /usr/local/bin/honeyd -d -f \ /usr/local/share/honeyd/honeyd.conf 192.168.0.0/24 В принципе, все работает. Но на мой взгляд, то что приходится давать доступ к /proc (запрашивается /proc/net/dev) не есть надежно. Можно ли поступить другим образом? Любые замечания и рекомендации приветствуются.

	а этот honeyd после старта под юзера переходит? 16.12.03 19:10   Автор: LLL <Алексей> Статус: Member <"чистая" ссылка>
	IMHO, где-то видел инфу, что root может вылезти из-под chroot'а, но м.б. речь шла о какой-то специфичной конфигурации системы (точно не помню уже).

		да, такая вероятнось есть, но мне здесь другое не нравиться 16.12.03 19:30   Автор: Al Статус: Незарегистрированный пользователь <"чистая" ссылка>
		а именно - необходимость давать доступ к /proc/net/dev, а как это сделать не монтируя весь раздел /proc я не догадался. если иметь доступ к /proc то выломиться из клетки еще легче.

			а ОС позволяет монтировать подкаталоги из /proc как каталоги локальных ФС? 16.12.03 20:03   Автор: LLL <Алексей> Статус: Member <"чистая" ссылка>
			Ёёё! Попробовал у себя во фре4.8 такую фишку... Вроде все нормально, даже ls -l по смонтированному каталогу отработал. Но ls -l по родительскому для точки монтирования каталогу ушел в состояние D. Туда же ушли несколько попыток umount'а (с форсом в том числе) и повторная попытка пролистать сам смонтированный каталог :-((( Похоже сервак теперь спасет только ребут, как бы ни было неприятно проводить эту процедуру на серваке :-( М.б. Ваша ОС лучше справится с такой задачей ;-)

				Э, стой! Погоди перезагружаться 16.12.03 22:36   Автор: Ktirf <Æ Rusakov> Статус: Elderman <"чистая" ссылка>
				> Ёёё! > Попробовал у себя во фре4.8 такую фишку... Вроде все > нормально, даже ls -l по смонтированному каталогу > отработал. Но ls -l по родительскому для точки монтирования > каталогу ушел в состояние D. Туда же ушли несколько попыток > umount'а (с форсом в том числе) и повторная попытка > пролистать сам смонтированный каталог :-((( > Похоже сервак теперь спасет только ребут, как бы ни было > неприятно проводить эту процедуру на серваке :-( umount -l не спасет отца русской демократии?

					поздно... с утра сервак ребутнул, не заходя на форум 17.12.03 11:25   Автор: LLL <Алексей> Статус: Member <"чистая" ссылка>
					> umount -l не спасет отца русской демократии? Но в мануал сейчас заглянул. Однако там не нашлось упомянутого ключа. Причем не только у меня во фрях 4.8 и 5.1, но и на доступном линуксе и на 8-ой солярке. Где это живет umount с таким ключиком?

						странно... 17.12.03 11:37   Автор: fly4life <Александр Кузнецов> Статус: Elderman <"чистая" ссылка>
						> > umount -l не спасет отца русской демократии? > > Но в мануал сейчас заглянул. Однако там не нашлось > упомянутого ключа. Причем не только у меня во фрях 4.8 и > 5.1, но и на доступном линуксе и на 8-ой солярке. Где это > живет umount с таким ключиком? Не знаю как во фре, но в линуксе, как раз, и есть этот ключ. -l Lazy unmount. Detach the filesystem from the filesystem hierarchy now, and cleanup all refer- ences to the filesystem as soon as it is not busy anymore. (Requires kernel 2.4.11 or later.)

							линукс мне попался весьма древний 17.12.03 19:18   Автор: LLL <Алексей> Статус: Member <"чистая" ссылка>
							> Не знаю как во фре, но в линуксе, как раз, и есть этот > ключ. Сам /bin/umount в подручной системе от 1999 года. > anymore. (Requires kernel 2.4.11 or later.) Да еще и ядро 2.2.х Но будь у меня новее линукс где-то рядом, один фиг реанимировать подвисшие из-за ФС процессы на фре это бы не помогло :-(

							2chroot4ho... 17.12.03 18:41   Автор: Al Статус: Незарегистрированный пользователь <"чистая" ссылка>
							обладая несколько нудным характером, вернусь к началу тему. honeyd для работы требует рутовых привелегий - это минус. а частичным плюсом есть то, что работает с только одним процессом /proc/net/dev -> mount --bind -t proc /proc/net iail/proc/net дает хоть какую то иллюзию. Вывод, в таких условиях из chroot jail можно выломиться. Если есть замечания, выслушаю с удовольствием.

								есть тут еще одна мысль по теме 17.12.03 19:56   Автор: LLL <Алексей> Статус: Member <"чистая" ссылка>
								> а частичным плюсом есть то, что работает с только одним > процессом /proc/net/dev -> mount --bind -t proc > /proc/net iail/proc/net Не процессом, а файлом наверно? Только я не понял, этот хитрый вызов mount'а только /proc/net в chroot'е организует? > дает хоть какую то иллюзию. > Вывод, в таких условиях из chroot jail можно выломиться. К сожалению, я не в курсе, что можно через /proc/net сотворить. > Если есть замечания, выслушаю с удовольствием. Если дрессируемая прога с сырцами, то ее можно переделать, либо изменив политику работы с /proc/net/dev (допустим, чтоб оно его открывало в начале работы и сразу после этого само chroot() делало), либо научив работать с net/dev через какой-нить файл-прокси (мелкую утилиту, которая по запросам через файл-сокеты или еще по каким-то каналам выдает инфу из требуемого файла). Утилита, разумеется, должна запускаться не в chroot'е, но она мелкая, значит по замыслу правильная с т.з. безопасности.

									да 18.12.03 09:19   Автор: Al Статус: Незарегистрированный пользователь <"чистая" ссылка>
									>> /proc/net/dev -> mount --bind -t proc /proc/net iail/proc/net > /proc/net в chroot'е организует? да > > Вывод, в таких условиях из chroot jail можно выломиться. > К сожалению, я не в курсе, что можно через /proc/net > сотворить. я тоже, но пожалуй. это не означает что уйти нельзя. > > Если дрессируемая прога с сырцами, то ее можно переделать, ;) ну дык, что ж остается

1

Copyright © 2001-2025 Dmitry Leonov

Page build time: 0 s

Design: Vadim Derkach