Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » UNIX » FreeBSD - chroot для всей системы

Модерирует : ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

dvk54

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго.
Есть задача, что бы машина грузилась по минимуму, только для запуска сети+ssh+vpn.
Затем вход по удалёнке админа, и админ уже ручками подключает шифрованый том, монтирует его и запускает все службы.
 
Пробую так:
1. загрузка с маленького раздела.  
2. geli attch gpt/trjam
3. mount /dev/gpt/trjam.eli /newr  
 
4. mount_nullfs /newr/etc /etc
mount_nullfs /newr/usr /usr
........
screen -d -m /etc/rc.d/sshd restart
.....
/usr/local/etc/rc.d/mysql57-server start
......
 
Почти отлично работает.  
Но, чем-то задним чувствую - есть более элегантный метод.
Вот читал-читал про chroot.
 
Если вместо перемонтирования var-usr-и.т.д сделать
chroot /newr
и начинать стартовать сервисы...
получат ли сервисы правильный рут при старте?
Как, по идее, решать эту задачу правильно?

Всего записей: 176 | Зарегистр. 18-06-2005 | Отправлено: 15:29 13-12-2019
MACTEP



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 dvk54:

Цитата:
Но, чем-то задним чувствую - есть более элегантный метод.

Вспомнился старый добрый анекдот - "что-то меня последнее время Гондурас беспокоит...".
Смысл chroot для меня всегда был в изоляции условно опасного приложения от собственно системы. Он заключается в создании отдельной стандартной структуры каталогов (/etc, /usr, /lib, /bin...), куда раскладываются вручную бинарник, который нужно изолировать от системы, либы, которые он динамически линкует, конечно же конфиги. Во фре есть утилиты типа ldd, чтобы определить нужные библиотеки. Обычно еще и трейсится запуск бинарника до форка, чтобы убедиться, что все на месте и нет ошибок. Это подходит для какого-нибудь веб-проекта с говно-разрабами и их скриптами, дырявыми, как дуршлаг моей покойной бабушки... В указанном варианте не вижу применения для chroot. Далее есть jail. Там все круче, практически система в системе, но всегда были проблемы с разделением ресурсов. Правда много лет уже не использую ни то и ни другое, так как виртуализация позволяет возложить задачи изоляции и распределения ресурсов на гипервизор, а мощные средства бэкапа виртуальных инфраструктур - наплевать на уязвимости, создаваемые вышеупомянутыми рукожопыми разрабами... И сама идеология ваша мне не нравится, честно говоря. Начальные условия - "админ уже ручками подключает шифрованный том". Усеры смогут благополучно скомпрометировать данные, которые там будут, работая с уже расшифрованным томом. Человеческий фактор обычно убивает все мегасекьюрные решения. Как-то так...  
 

Всего записей: 732 | Зарегистр. 11-04-2002 | Отправлено: 22:04 13-12-2019
dvk54

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я прочёл, для чего используют chroot и jail, можно было не углубляться.
 
Но у меня задача, в некотором роде, обратная: не защита системы от программы, а защита системы от внешнего (по отношению к системе) наблюдателя. На минуточку возникла мысль что chroot может и помочь в этом.  
По сути, требуется перемонтировать на ходу "/". Моих знаний как это можно сделать - недостаточно. Вот и спрашиваю у сообщества.
 

Цитата:
 Усеры смогут благополучно скомпрометировать данные,

"Усеры", к счастью, в системе не ожидаются.
 

Цитата:
И сама идеология ваша мне не нравится, честно говоря

Какую схемы предложили бы Вы?

Всего записей: 176 | Зарегистр. 18-06-2005 | Отправлено: 03:38 14-12-2019 | Исправлено: dvk54, 04:04 14-12-2019
MACTEP



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Какую схемы предложили бы Вы?

Чтобы что-либо предлагать нужно иметь внятное ТЗ. Полагаю, что Вы не захотите раскрывать детали своих задач...
Цитата:
а защита системы от внешнего (по отношению к системе) наблюдателя

Более мутное определение трудно себе придумать. Нужно хотя бы понимать, какие средства этот пресловутый "наблюдатель" использует и какие цели преследует.
 

Всего записей: 732 | Зарегистр. 11-04-2002 | Отправлено: 11:10 14-12-2019
dvk54

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нда.. Это я, конечно, "пойди туда, не знаю куда"..
 
Смысл этого анонизма;
Максимально усложнить доступ к данным лицам, имеющим физический доступ к серверу.
 
т.е. тз примерно такое "отсутствует физический контроль сервера, обеспечить безопасность данных"
 
Понятно, что не обеспечив физическую недоступность сервера, о защите говорить смешно. Но хоть усложнить.

Всего записей: 176 | Зарегистр. 18-06-2005 | Отправлено: 11:41 14-12-2019
MACTEP



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что в таком случае мешает хранить все критически важные данные на криптодиске, который Вы собираетесь монтировать вручную? Предположим, что злоумышленник добрался до консоли, загрузился с ливсиди, смонтировал все разделы, нашел криптоконтейнер. Что дальше он с этим будет делать? "анонизмом" с ним заниматься? Что интересного он найдет в разделах собственно системы? Да можно весь jail разместить на крипторазделе, если уж совсем параноидально хочется. Типа - зашел по ssh, смонтировал раздел, стартанул jail.  

Цитата:
/usr/local/etc/rc.d/mysql57-server start

Значит там муська. А с базой чем работаете? Удаленным клиентом с доверенных хостов? Или там веб? А если веб, то Вас быстрей через скрипты заксплойтят, нежели в консоль физическую полезут...

Всего записей: 732 | Зарегистр. 11-04-2002 | Отправлено: 12:23 14-12-2019 | Исправлено: MACTEP, 12:24 14-12-2019
dvk54

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Что в таком случае мешает хранить все критически важные данные на криптодиске,

ничего не мешает. так они там и хранятся var+usr+etc+root. С год уже работает.  
мускул только локально, ессно. И без всяких там вебморд.
Но мапить кучу папок мне не нравится. поэтому - папки первого уровня от корня. Ну места мало, обновления и т.д. - удобнее когда свободное место консолидировано.
 
Внешних угроз не особо опасаюсь - там, по сути, всё взаимодействие через впн. А что не через впн - сильно сложно для взлома. ну и пароли по локоть и всё такое. Основное опасение вызывает именно физическое окружение - любопытные админы и т.п.
 
ну это растекание мыслею по древу.
Мне интересна возможность перемонтировать "/" на ходу на корень подключенного криптоконтейнера.  
Когда-то очень давно попадалась статья про реализацию такой фишки, но - ни вспомнить ни найти не могу.

Всего записей: 176 | Зарегистр. 18-06-2005 | Отправлено: 13:35 14-12-2019
MACTEP



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сдаюсь. Не понимаю смысл этих танцев. Про / нет идей, не делал такого... man google...

Всего записей: 732 | Зарегистр. 11-04-2002 | Отправлено: 15:01 14-12-2019
warezo

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Мне интересна возможность перемонтировать "/" на ходу на корень подключенного криптоконтейнера.

Вы хотите перемонтировать оперативную память на криптоконтейнер?

Всего записей: 309 | Зарегистр. 16-11-2005 | Отправлено: 04:29 26-01-2020
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Операционные системы » UNIX » FreeBSD - chroot для всей системы


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru