View previous topic :: View next topic |
Author |
Message |
guilc Bodhisattva
Joined: 15 Nov 2003 Posts: 3326 Location: Paris - France
|
|
Back to top |
|
|
Enlight Advocate
Joined: 28 Oct 2004 Posts: 3519 Location: Alsace (France)
|
Posted: Sun Dec 14, 2008 11:11 pm Post subject: |
|
|
effectivement ça semble pas mal restreindre les possibilités, il reste des possibilités de sortir du chroot connues à ce jour? |
|
Back to top |
|
|
Jacqueline Apprentice
Joined: 28 Jul 2006 Posts: 161 Location: Netherland
|
Posted: Sun Dec 14, 2008 11:21 pm Post subject: |
|
|
Euh moi j'en ai un..
http://sysjail.bsd.lv/sysjail.3.html
Apparement ca a ete refait entierement , car la version precedente avait ete craquee..
http://sysjail.bsd.lv/
[url]www.watson.org/~robert/2007woot/2007usenixwoot-exploitingconcurrency.pdf [/url]
[EDIT] pardon , c'etait pour les jails, mais je les laisse tout de meme.. Piouh la securite c'est hard ! [/EDIT] |
|
Back to top |
|
|
guilc Bodhisattva
Joined: 15 Nov 2003 Posts: 3326 Location: Paris - France
|
Posted: Sun Dec 14, 2008 11:33 pm Post subject: |
|
|
Enlight wrote: | effectivement ça semble pas mal restreindre les possibilités, il reste des possibilités de sortir du chroot connues à ce jour? |
Je dois dire que je ne me suis pas penché a fond sur la question : je pars du principe que passé un certain niveau de protection, le risque encouru par rapport à la pénibilité de mise en place ne justifie plus d'aller plus loin.
Donc je considère qu'un système renforcé par PAX + Grsec + une politique de RBAC correcte et une administration carrée est suffisant par rapport au risque qu'encours ma machine, et je ne me pose pas plus de questions _________________ Merci de respecter les règles du forum.
Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing |
|
Back to top |
|
|
loopx Advocate
Joined: 01 Apr 2005 Posts: 2787 Location: Belgium / Liège
|
Posted: Sun Dec 14, 2008 11:40 pm Post subject: |
|
|
Je comprend mieux chroot quand on me parle d'isolation kernel/reso
Ok ok ... mais encore une fois, bien que tu as accès au kernel et au réseau, comment tu arrive à faire une injection sans avoir d'outil sous la main ? Donc, je persiste à croire que si le chroot est bien fait, ca devrait pas poser de problème de secu ...
Enfin, il est vrai que j'ai pensé qu'il était peut être possible de créer un binaire avec vi (y a po vi dans un chroot.. ni meme echo ...) mais ca doit être bien chaud quand meme ...
Sinon, pour hardened, j'ai pas cherché du tout je l'ai installé minimalement, et j'ai déjà des trucs activer, de la protection en plus donc, c'est déjà bien et j'en suis content maintenant, jte le fais pas dire, je suis pas trop du genre à faire ca dans les règles de l'art ... :s _________________ Mon MediaWiki perso : http://pix-mania.dyndns.org |
|
Back to top |
|
|
Jacqueline Apprentice
Joined: 28 Jul 2006 Posts: 161 Location: Netherland
|
Posted: Mon Dec 15, 2008 12:30 am Post subject: |
|
|
Une explication interessante
http://www.touslesreseaux.com/forum/index.php?showtopic=40
Mais le chroot bien fait , ca a l'air de ressembler a chroot + grsecurity.
Mais sortir du chroot simple , c'est pas a la portee du premier gamin, qui veut s'entrainer a cracker des sites sur un serveur perso, meme avec la doc
Mais c'est mieux que pas de chroot du tout. Meme si sans , ca resiste assez bien au courant...
Puis qu on a parle du hardened pour Gentoo .. j'avais decouvert PHP hardened http://www.hardened-php.net/
avec Suoshin. http://www.hardened-php.net/suhosin/index.html
Sur un serveur, perso ou il y a un site avec un CMS souvent bourre de failles, c'est plus simple a attaquer qu un chroot., et on se retrouve avec une photo de Q sur son site.. ou un virus qui pourira le PC des amis et de la famille..
J'ai bien ri en lisant ca :
ne pas confondre complexité et sécurité : si votre système de sécurité vous échappe, considérez que vous n'êtes pas en sécurité. Bon, de toute façon, vous n'êtes jamais en sécurité. |
|
Back to top |
|
|
Jacqueline Apprentice
Joined: 28 Jul 2006 Posts: 161 Location: Netherland
|
|
Back to top |
|
|
kwenspc Advocate
Joined: 21 Sep 2003 Posts: 4954
|
Posted: Mon Dec 15, 2008 6:57 am Post subject: |
|
|
Ce jail là n'est pas le jail des BSD. (vas voir le site officiel du-dit projet, c'est un outil qui aide au déploiement d'un environnement chrooté)
loopx wrote: |
Ok ok ... mais encore une fois, bien que tu as accès au kernel et au réseau, comment tu arrive à faire une injection sans avoir d'outil sous la main ? Donc, je persiste à croire que si le chroot est bien fait, ca devrait pas poser de problème de secu ...
|
Ahem...
Tu ferais bien d'aller faire un tour du coté des techniques d'exploitations de failles. (c'est sur c'est pas donné à tous le monde de réussir ce genre d'injection)
chroot n'est pas et ne seras JAMAIS un outil de sécurité. (il est pas prévu pour ça, comme l'a résumé Enlight)
Utiliser chroot chez soit pas de problème, tu subiras jamais une attaque de haut vol. Utiliser chroot sur des serveurs critiques par contre c'est mettre une protection en mousse: dès lors que l'attaquant prend la main dans le chroot s'en est finit du serveur racine.
Si après vous avez toujours pas saisis la nuances moi je laisse tomber. _________________ membre officieux du SAV Ati GEntoo |
|
Back to top |
|
|
Jacqueline Apprentice
Joined: 28 Jul 2006 Posts: 161 Location: Netherland
|
Posted: Mon Dec 15, 2008 10:39 am Post subject: |
|
|
kwenspc
Merci apres ce passage en revue, c'est clair. |
|
Back to top |
|
|
loopx Advocate
Joined: 01 Apr 2005 Posts: 2787 Location: Belgium / Liège
|
Posted: Mon Dec 15, 2008 2:31 pm Post subject: |
|
|
Ok, j'avais oublié que ctais l'injection qui faisait tout donc oui, si tu arrive déjà a craquer .. libre à toi de bypasser le chroot ... mais ca doit pas être facile, en effet .
Intéressant tout ca
Mais entre chroot et pas chroot, c'est quand meme un peu plus sécu avec :p _________________ Mon MediaWiki perso : http://pix-mania.dyndns.org |
|
Back to top |
|
|
Jacqueline Apprentice
Joined: 28 Jul 2006 Posts: 161 Location: Netherland
|
Posted: Mon Dec 15, 2008 4:00 pm Post subject: |
|
|
bonjour a tous au fait..
Je viens de lire : 10.16 - Parlez moi de chroot(2) Apache ? la doc d'OpenBSD.
Je crois qu ils montrent bien tous les aspects du probleme avec chroot., sans parti pris, a la limite ca peut etre pire que sans..
http://www.openbsd.org/faq/fr/faq10.html#httpdchroot |
|
Back to top |
|
|
loopx Advocate
Joined: 01 Apr 2005 Posts: 2787 Location: Belgium / Liège
|
Posted: Mon Dec 15, 2008 4:50 pm Post subject: |
|
|
Mouarf on est mal barré avec notre nux alors _________________ Mon MediaWiki perso : http://pix-mania.dyndns.org |
|
Back to top |
|
|
Jacqueline Apprentice
Joined: 28 Jul 2006 Posts: 161 Location: Netherland
|
Posted: Mon Dec 15, 2008 5:06 pm Post subject: |
|
|
loopx wrote: | Mouarf on est mal barré avec notre nux alors |
Non pourquoi, si on suit les autres conseils .. donnes au debut.
Ce ne sera pas une forteresse, mais : les enjeux ! et plutot qu une mauvaise ou fausse solution.. derriere laquelle on se croit a l'abri de tout |
|
Back to top |
|
|
kwenspc Advocate
Joined: 21 Sep 2003 Posts: 4954
|
Posted: Mon Dec 15, 2008 5:29 pm Post subject: |
|
|
Franchement vous me prenez pas la tête. Loopx avec ta liste de point à voir pour la sécu, sans chroot c'est du très solide pour un serveur @ home.
Je n'ai pas chroot chez moi (ok j'ai pas apache qui est généralement l'appli que les gens mettent dans un chroot), j'ai assez confiance dans tout le reste, chroot c'est vraiment un détail si tout le reste à côté est bon. Et de fait il FAUT s'attarder à bien config tout le reste plutôt que de perdre du temps avec chroot. (qui est faillible puisque pas fait pour ça, je sais je rabache...)
Quelques commentaires sur ta liste loopx:
- tu peux mettre les modules iptables dont tu as besion en dur (et virer le support des modules dans le noyaux). Iptables va gueuler (il va dire qu'il arrive pas à charger les modulse) mais pour autant il va fonctionner.
- Au sujet des clé ssh, le mieux c'est de l'avoir sur clé usb, et encryptée. Ce qui veut dire que pour pouvoir te connecter à ton serveur faut la clé certes, mais aussi la passphrase pour la décrypter (donc si on te choures ta clé, le temps que le mcs décrypte du triple-des t'as le temps de te rendre compte du vol, de blacklister la clé et de t'en recréer un jeu ). Le panard c'est une smartcard rsa usb, la clé est illisible car générée et écrite dans la clé, avec passphrase. C'est du parano tranquile, c'est du bon.
- Sinon pour l'IDS oui c'est trop de boulot avec le risque de te retrouver perdu devant tout un tas de faux-positifs. Le meilleur IDS c'est un admin consciencieux
- Les mise à jour maintenant, privilégies les mises à jour de sécurité uniquement (les GLSA). Ça sert à rien de passer d'une version à une autre sur un soft, si la version actuelle que tu utilise est stable et sans faille connue. (une mise à jour pourrait rendre ton système moins stable, si tu tombes sur un paquet mal finit sait-on jamais)
- Nagios est en effet trop lourd pour 1 serveur (en plus un serveur @home). Je préfères des ptits scripts perso (cron job tout con, pas besoin de se prendre la tête). Sinon les rddtools, munin pour lest stats. _________________ membre officieux du SAV Ati GEntoo |
|
Back to top |
|
|
Enlight Advocate
Joined: 28 Oct 2004 Posts: 3519 Location: Alsace (France)
|
Posted: Mon Dec 15, 2008 6:08 pm Post subject: |
|
|
loopx wrote: |
Enfin, il est vrai que j'ai pensé qu'il était peut être possible de créer un binaire avec vi (y a po vi dans un chroot.. ni meme echo ...) mais ca doit être bien chaud quand meme ...
|
Tu plaisantes là? Si tu ne connais pas les rudiments des exploits de base (genre ceux qui ne marchent même plus depuis des lustres mais qui sont simple à comprendre) c'est normal que tu ais du mal à concevoir la manière dont tu risques d'être attaqué... |
|
Back to top |
|
|
loopx Advocate
Joined: 01 Apr 2005 Posts: 2787 Location: Belgium / Liège
|
Posted: Mon Dec 15, 2008 9:55 pm Post subject: |
|
|
Ouais, je sais bien, je suis pas trop intéressé par le crackage/hacking et donc, je n'y connais pas grand chose. Mais j'ai quand même de bonne connaissance en informatique
J'ai mis nagios sur mon serveur, c'est pas mal et je monitore aussi par VPN ...
Mais avec tout les systèmes de monitoring en place, je m'appercois que je bouff un bon gros giga octet d'adsl par mois ... hum ...
* routage dynamique (10 secondes)
* cacti (5 min)
* nagios (5 min)
... :s _________________ Mon MediaWiki perso : http://pix-mania.dyndns.org |
|
Back to top |
|
|
kwenspc Advocate
Joined: 21 Sep 2003 Posts: 4954
|
Posted: Mon Dec 15, 2008 10:00 pm Post subject: |
|
|
loopx wrote: | Mais j'ai quand même de bonne connaissance en informatique
|
Ça c'est toi qui le dit
penser que chroot est un outil de sécu hein, mmh...
oui c'est bon je te permet de me pousser vers la sortie, voilà [] _________________ membre officieux du SAV Ati GEntoo
Last edited by kwenspc on Tue Dec 16, 2008 6:23 am; edited 1 time in total |
|
Back to top |
|
|
loopx Advocate
Joined: 01 Apr 2005 Posts: 2787 Location: Belgium / Liège
|
|
Back to top |
|
|
lesourbe l33t
Joined: 24 Nov 2005 Posts: 710 Location: Champagne !
|
Posted: Tue Dec 16, 2008 8:39 am Post subject: |
|
|
kwenspc wrote: | Utiliser chroot sur des serveurs critiques par contre c'est mettre une protection en mousse: dès lors que l'attaquant prend la main dans le chroot s'en est finit du serveur racine. |
je remets de l'huile sur le feu, parce que y'en a qui ont pas compris :
en quoi ça le rend plus faillible ? _________________ Is that a banhammer ?
LeSourbe, Member of EPowerforce. |
|
Back to top |
|
|
geekounet Bodhisattva
Joined: 11 Oct 2004 Posts: 3772 Location: Wellington, Aotearoa
|
Posted: Tue Dec 16, 2008 9:31 am Post subject: |
|
|
lesourbe wrote: | kwenspc wrote: | Utiliser chroot sur des serveurs critiques par contre c'est mettre une protection en mousse: dès lors que l'attaquant prend la main dans le chroot s'en est finit du serveur racine. |
je remets de l'huile sur le feu, parce que y'en a qui ont pas compris :
en quoi ça le rend plus faillible ? |
Ça fait une complexité inutile en plus, donc t'es moins efficace à l'administration du reste, de choses plus importantes, donc ta sécurité est moindre, c'est dans les principes de sécu de base, KISS |
|
Back to top |
|
|
kwenspc Advocate
Joined: 21 Sep 2003 Posts: 4954
|
Posted: Tue Dec 16, 2008 10:20 am Post subject: |
|
|
lesourbe wrote: | kwenspc wrote: | Utiliser chroot sur des serveurs critiques par contre c'est mettre une protection en mousse: dès lors que l'attaquant prend la main dans le chroot s'en est finit du serveur racine. |
je remets de l'huile sur le feu, parce que y'en a qui ont pas compris :
en quoi ça le rend plus faillible ? |
serveur critique = en principe un admin derrière que essais d'avoir une sécurite maxi (enfin ça c'est le principe). Si l'attaquant réussit a passer le tout pour arriver dans un chroot: il va rigoler et ça lui prendre que dalle à bousiller ça et passer à la racine du serveur. C'est pas que chroot rend le serveur plus faillibel, c'est puste que c'est totalement inutile dans ce contexte là. c'est tout.
[edit] ouais geekounet l'explique mieux que moi ^^[/edit] _________________ membre officieux du SAV Ati GEntoo |
|
Back to top |
|
|
scherz0 Apprentice
Joined: 02 Oct 2008 Posts: 154
|
Posted: Tue Dec 16, 2008 10:37 am Post subject: |
|
|
lesourbe wrote: | kwenspc wrote: | Utiliser chroot sur des serveurs critiques par contre c'est mettre une protection en mousse: dès lors que l'attaquant prend la main dans le chroot s'en est finit du serveur racine. |
je remets de l'huile sur le feu, parce que y'en a qui ont pas compris :
en quoi ça le rend plus faillible ? |
Pour résumer : maintenir correctement un système est une activité complexe. Maintenir plusieurs racines ajoute de la complexité, et on risque facilement :
- d'oublier de mettre à jour les racines alternatives,
- de le faire de façon incohérente,
- de casser des dépendances,
- de fragiliser les processus concernés, etc.
Démarrer un processus dans une racine alternative peut être utile pour beaucoup de raisons. Mais pas pour la sécurité du système, ou uniquement de façon marginale et à condition de comprendre parfaitement en quoi ça consiste. Extrait de man chroot(2) : "This call changes an ingredient in the pathname resolution process and does nothing else".
Sauf lorsqu'on sait précisément pourquoi on le fait, changer la racine d'un processus n'a aucun intérêt et ne fait que compliquer inutilement les choses. C'est donc dangereux de le faire de façon systématique ("chrooter quand c'est possible"). |
|
Back to top |
|
|
lesourbe l33t
Joined: 24 Nov 2005 Posts: 710 Location: Champagne !
|
Posted: Tue Dec 16, 2008 10:51 am Post subject: |
|
|
on s'est mal entendu sur le "quand c'est possible".
postifix par exemple est construit avec... en fait, c'est même pas top, il semble que faut le désactiver pour permettre selinux.
ok ok chroot c'est le mal. _________________ Is that a banhammer ?
LeSourbe, Member of EPowerforce. |
|
Back to top |
|
|
scherz0 Apprentice
Joined: 02 Oct 2008 Posts: 154
|
Posted: Tue Dec 16, 2008 12:18 pm Post subject: |
|
|
lesourbe wrote: |
postifix par exemple est construit avec... en fait, c'est même pas top, il semble que faut le désactiver pour permettre selinux.
|
C'est un autre sujet : il ne s'agit pas d'adminstration de système, mais de programmation. On l'utilise en sachant précisément ce que ça fait (c'est à dire très peu !)
On fixe la racine au répertoire de base du processus (celui qui contient les données), et on réduit (un peu) la possibilité de lire/écrire par erreur en dehors de ce répertoire. Mais ça ne permet que de limiter les conséquences directes des erreurs de programmation, et en aucun cas ça ne protège de leur exploitation. |
|
Back to top |
|
|
lesourbe l33t
Joined: 24 Nov 2005 Posts: 710 Location: Champagne !
|
Posted: Tue Dec 16, 2008 12:32 pm Post subject: |
|
|
scherz0 wrote: | en aucun cas ça ne protège de leur exploitation. |
... si l'exploit en question prévoit le chroot. _________________ Is that a banhammer ?
LeSourbe, Member of EPowerforce. |
|
Back to top |
|
|
|