[CHROOTED] ssh users

frp31 · 10/02/2010, 12h55

bjr,

j'ai un utilisateur chrooted, classique sur une machine, mais je me demandais, parce qu'il souhaite un accès distant, si le chrooted environnement peut être brisé ou non par l'utilisateur (si on l'imaginait mal-intentionné) ?

nota : mon chrootage fonctionne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
bash-3.2$ ls -lrth
total 44K
drwxr-xr-x 7 root  root  4.0K Feb 10 11:38 var
drwxr-xr-x 6 root  root  4.0K Feb 10 11:38 usr
drwxr-xr-x 2 root  root  4.0K Feb 10 11:38 sbin
dr-xr-xr-x 2 root  root  4.0K Feb 10 11:38 proc
drwxr-xr-x 3 root  root  4.0K Feb 10 11:38 lib
drwxr-xr-x 2 root  root  4.0K Feb 10 11:38 dev
drwxr-xr-x 2 root  root  4.0K Feb 10 11:56 root
drwxr-xr-x 2 root  root  4.0K Feb 10 11:59 bin
drwxr-xr-x 4 root  root  4.0K Feb 10 12:04 etc
drwxr-xr-x 2 franc franc 4.0K Feb 10 12:06 franc
drwxrwxrwt 2 root  root  4.0K Feb 10 12:40 tmp
bash-3.2$ pwd    
/
bash-3.2$

AMHA non, mais on ne sait jamais. Vu que google remonte + de 100 réponse à la requette suivante http://www.google.fr/search?q=briser+prison+chroot
ça ne semble pas possible si le chroot est assez sévère au niveau des repertoires bin et aux exécutables livrés à l'utilisateur final...mais malgré tout ça me met la puce à l'oreille...

Bien que la machine ne soit pas du tout critique, il me parait intéressant d'évaluer le risque au cas où j'aurai à refaire une config du même style sur une machine bien plus sensible.

Alors risques ou pas risques ? et si oui quels configs/surveillants ajouter pour limiter au maximum les risques

Merci

N_BaH · 10/02/2010, 15h47

Bonjour,

t'es-tu penché sur Linux/Vserver ?
ou comment simplifier et augmenter la sécurité d'un chroot...
?

frp31 · 10/02/2010, 17h23

intérêt très limité mieux vaut alors integrer la machine dans un ferme vmware ESX

parce que vserveur utilise un seul noyau donc si il y a un bug ou une faille c'est pour TOUS les Vhosts alors qu'une vraie machine virtuelle ca planterai potentiellement que la VM concernée (sauf si toutes les VM sont à l'identiques mais ça n'existe jamais ça)

dahtah · 12/02/2010, 12h50

Salut,
question intéressante. Les méthodes que j'ai vu sur internet pour sortir du chroot nécessite d'être root. ça veut dire que l'utilisateur a utilisé un exploit local pour escalader les privilèges. Si il est déja root, chroot ou pas, c'est plus vraiment le problème majeur.

frp31 · 12/02/2010, 14h12

oui tu as raison,
je suis aussi arrivé à cette conclusion après avoir tester un peu plus avant mercredi soir

10/02/2010, 15h47	#2
N_BaH Expert Confirmé Inscription : février 2008 Messages : 1 896 Détails du profil Informations forums : Inscription : février 2008 Messages : 1 896 Points : 3 676 Points : 3 676	Bonjour, t'es-tu penché sur Linux/Vserver ? ou comment simplifier et augmenter la sécurité d'un chroot... ? __________________ Algorithmique et Programmation pour non-matheux Introduction à la Programmation en BASH
	00

10/02/2010, 17h23	#3
frp31 Expert Confirmé Sénior francois Ingénieur systèmes et réseaux Inscription : juillet 2006 Messages : 3 257 Détails du profil Informations personnelles : Nom : francois Âge : 35 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : juillet 2006 Messages : 3 257 Points : 7 039 Points : 7 039	intérêt très limité mieux vaut alors integrer la machine dans un ferme vmware ESX parce que vserveur utilise un seul noyau donc si il y a un bug ou une faille c'est pour TOUS les Vhosts alors qu'une vraie machine virtuelle ca planterai potentiellement que la VM concernée (sauf si toutes les VM sont à l'identiques mais ça n'existe jamais ça) __________________ Communauté OpenBSD francophone Communauté de collectionneur d'ordinateurs antiques
	00

12/02/2010, 14h12	#5
frp31 Expert Confirmé Sénior francois Ingénieur systèmes et réseaux Inscription : juillet 2006 Messages : 3 257 Détails du profil Informations personnelles : Nom : francois Âge : 35 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : juillet 2006 Messages : 3 257 Points : 7 039 Points : 7 039	oui tu as raison, je suis aussi arrivé à cette conclusion après avoir tester un peu plus avant mercredi soir __________________ Communauté OpenBSD francophone Communauté de collectionneur d'ordinateurs antiques
	00

12/02/2010, 12h50	#4
dahtah Membre éprouvé Ingénieur sécurité Inscription : février 2007 Messages : 433 Détails du profil Informations personnelles : Âge : 27 Localisation : Australie Informations professionnelles : Activité : Ingénieur sécurité Secteur : Industrie Informations forums : Inscription : février 2007 Messages : 433 Points : 414 Points : 414	Salut, question intéressante. Les méthodes que j'ai vu sur internet pour sortir du chroot nécessite d'être root. ça veut dire que l'utilisateur a utilisé un exploit local pour escalader les privilèges. Si il est déja root, chroot ou pas, c'est plus vraiment le problème majeur.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email