информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Портрет посетителяАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / software
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
странно... 17.12.03 11:37  Число просмотров: 2004
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
> > umount -l не спасет отца русской демократии?
>
> Но в мануал сейчас заглянул. Однако там не нашлось
> упомянутого ключа. Причем не только у меня во фрях 4.8 и
> 5.1, но и на доступном линуксе и на 8-ой солярке. Где это
> живет umount с таким ключиком?

Не знаю как во фре, но в линуксе, как раз, и есть этот ключ.

-l Lazy unmount. Detach the filesystem from the
filesystem hierarchy now, and cleanup all refer-
ences to the filesystem as soon as it is not busy
anymore. (Requires kernel 2.4.11 or later.)
<software>
chroot4honeyd 16.12.03 18:50  
Автор: Al Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Уважаемый, All.
Задался целью запустить honeyd в chroot jail. Сделал следующее
#mkdir /var/jail
#cd /var/jail
#mkdir etc
#mkdir lib
#mkdir lib/i686
#mkdir var
#mkdir var/run
#mkdir var/log/
#mkdir /proc
#mkdir /usr
#mkdir /usr/local
#mkdir usr/local/bin
#mkdir usr/local/sbin
#mkdir usr/local/share
#mkdir usr/local/share/honeyd
#mkdir dev
#cp /usr/local/sbin/arpd usr/local/sbin/
#cp /usr/local/bin/honeyd usr/local/bin/
#cp /usr/local/share/honeyd/* usr/local/share/honeyd/
#cp /lib/i686/libc.so.6 lib/i686/
#cp /lib/ld-linux.so.2 lib/
#cp /lib/i686/libm.so.6 lib/i686/
#cp /lib/libdl.so.2 lib/
#cp /lib/ld-linux.so.2 lib/
#cp /etc/ld.so.cache etc/
#cp /etc/localtime etc/
#mknod dev/urandom c 1 9
#mount -t proc /proc/ proc/

$sudo chroot /var/jail /usr/local/sbin/arpd -d 192.168.0.0/24
$sudo chroot /var/jail /usr/local/bin/honeyd -d -f \
/usr/local/share/honeyd/honeyd.conf 192.168.0.0/24

В принципе, все работает. Но на мой взгляд, то что приходится давать доступ к
/proc (запрашивается /proc/net/dev) не есть надежно. Можно ли
поступить другим образом? Любые замечания и рекомендации приветствуются.
а этот honeyd после старта под юзера переходит? 16.12.03 19:10  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
IMHO, где-то видел инфу, что root может вылезти из-под chroot'а, но м.б. речь шла о какой-то специфичной конфигурации системы (точно не помню уже).
да, такая вероятнось есть, но мне здесь другое не нравиться 16.12.03 19:30  
Автор: Al Статус: Незарегистрированный пользователь
<"чистая" ссылка>
а именно - необходимость давать доступ к /proc/net/dev, а как это сделать не монтируя весь раздел /proc я не догадался. если иметь доступ к /proc то выломиться из клетки еще легче.
а ОС позволяет монтировать подкаталоги из /proc как каталоги локальных ФС? 16.12.03 20:03  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
Ёёё!
Попробовал у себя во фре4.8 такую фишку... Вроде все нормально, даже ls -l по смонтированному каталогу отработал. Но ls -l по родительскому для точки монтирования каталогу ушел в состояние D. Туда же ушли несколько попыток umount'а (с форсом в том числе) и повторная попытка пролистать сам смонтированный каталог :-(((
Похоже сервак теперь спасет только ребут, как бы ни было неприятно проводить эту процедуру на серваке :-(
М.б. Ваша ОС лучше справится с такой задачей ;-)
Э, стой! Погоди перезагружаться 16.12.03 22:36  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
> Ёёё!
> Попробовал у себя во фре4.8 такую фишку... Вроде все
> нормально, даже ls -l по смонтированному каталогу
> отработал. Но ls -l по родительскому для точки монтирования
> каталогу ушел в состояние D. Туда же ушли несколько попыток
> umount'а (с форсом в том числе) и повторная попытка
> пролистать сам смонтированный каталог :-(((
> Похоже сервак теперь спасет только ребут, как бы ни было
> неприятно проводить эту процедуру на серваке :-(
umount -l не спасет отца русской демократии?
поздно... с утра сервак ребутнул, не заходя на форум 17.12.03 11:25  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
> umount -l не спасет отца русской демократии?

Но в мануал сейчас заглянул. Однако там не нашлось упомянутого ключа. Причем не только у меня во фрях 4.8 и 5.1, но и на доступном линуксе и на 8-ой солярке. Где это живет umount с таким ключиком?
странно... 17.12.03 11:37  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
> > umount -l не спасет отца русской демократии?
>
> Но в мануал сейчас заглянул. Однако там не нашлось
> упомянутого ключа. Причем не только у меня во фрях 4.8 и
> 5.1, но и на доступном линуксе и на 8-ой солярке. Где это
> живет umount с таким ключиком?

Не знаю как во фре, но в линуксе, как раз, и есть этот ключ.

-l Lazy unmount. Detach the filesystem from the
filesystem hierarchy now, and cleanup all refer-
ences to the filesystem as soon as it is not busy
anymore. (Requires kernel 2.4.11 or later.)
линукс мне попался весьма древний 17.12.03 19:18  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
> Не знаю как во фре, но в линуксе, как раз, и есть этот
> ключ.

Сам /bin/umount в подручной системе от 1999 года.

> anymore. (Requires kernel 2.4.11 or later.)

Да еще и ядро 2.2.х

Но будь у меня новее линукс где-то рядом, один фиг реанимировать подвисшие из-за ФС процессы на фре это бы не помогло :-(
2chroot4ho... 17.12.03 18:41  
Автор: Al Статус: Незарегистрированный пользователь
<"чистая" ссылка>
обладая несколько нудным характером, вернусь к началу тему.
honeyd для работы требует рутовых привелегий - это минус.
а частичным плюсом есть то, что работает с только одним процессом /proc/net/dev -> mount --bind -t proc /proc/net iail/proc/net
дает хоть какую то иллюзию.
Вывод, в таких условиях из chroot jail можно выломиться.
Если есть замечания, выслушаю с удовольствием.
есть тут еще одна мысль по теме 17.12.03 19:56  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
> а частичным плюсом есть то, что работает с только одним
> процессом /proc/net/dev -> mount --bind -t proc
> /proc/net iail/proc/net

Не процессом, а файлом наверно?
Только я не понял, этот хитрый вызов mount'а только /proc/net в chroot'е организует?

> дает хоть какую то иллюзию.
> Вывод, в таких условиях из chroot jail можно выломиться.

К сожалению, я не в курсе, что можно через /proc/net сотворить.

> Если есть замечания, выслушаю с удовольствием.

Если дрессируемая прога с сырцами, то ее можно переделать, либо изменив политику работы с /proc/net/dev (допустим, чтоб оно его открывало в начале работы и сразу после этого само chroot() делало), либо научив работать с net/dev через какой-нить файл-прокси (мелкую утилиту, которая по запросам через файл-сокеты или еще по каким-то каналам выдает инфу из требуемого файла). Утилита, разумеется, должна запускаться не в chroot'е, но она мелкая, значит по замыслу правильная с т.з. безопасности.
да 18.12.03 09:19  
Автор: Al Статус: Незарегистрированный пользователь
<"чистая" ссылка>
>> /proc/net/dev -> mount --bind -t proc /proc/net iail/proc/net
> /proc/net в chroot'е организует?
да

> > Вывод, в таких условиях из chroot jail можно выломиться.
> К сожалению, я не в курсе, что можно через /proc/net
> сотворить.
я тоже, но пожалуй. это не означает что уйти нельзя.
>
> Если дрессируемая прога с сырцами, то ее можно переделать,

;) ну дык, что ж остается
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach