Polskie Forum Użytkowników Debiana

Cześć, jestem nowy jeśli chodzi o pingwiny. Mam problem ze zrozumieniem jak lub czy chrootować jakąś aplikację/daemona/usługę. Pierwszy problem miałem przy instalacji binda, którego jak wszem i wobec wiadomo trzeba a przynajmniej wypadałoby z chrootować, na szczęście istnieje oficjalna instrukcja: https://wiki.debian.org/Bind9#Bind_Chroot.

Ale tak się zastanawiam na czym właściwie to całe chrootowanie polega - jak je wykonać, bo jest cała masa sposobów. Można ręcznie tworzyć strukturę potrzebnych plików tak jak np dla binda w linku w którym podałem lub używać narzędzia typu jailkit. Nie wiem czym te sposoby się różnią, może jailkit robi to samo co ręcznie robiłem z bindem i służy tylko zautomatyzowaniu tego procesu? Jailkit nie jest dostępny jako pakiet dla Debiana w repo, trzeba go pobrać ręcznie, zastanawiam się co to spowodowało? Są jakieś leprze narzędzia do robienia chroota na debianie?

Można też uruchomić daemona przy pomocy start-stop-daemon z parametrami --chdir oraz -chuid. Taki sposób znalazłem na chrootowanie teamspeaka.

Wiem by mieć odpowiednio dobrego chroota trzeba w kompilować w jądro grsecurity, dlatego nie pytam tutaj o aspekt jak umocnić chroota, tylko jak właściwie wykonywać go by był on bezpieczny, zakładając że grsecurity już jest skonfigurowany.

Zastanawiam się też w jaki sposób mogę sprawdzić czy np uruchamiany mój skrypt jest właśnie uruchamiany w jailu/chroot?

Podsumowując, jak zrobić dobrego chroota i jak go sprawdzić?

chroot - uruchamia polecenie lub powłokę interaktywną ze specjalnym katalogiem głównym

Chodziło mi o tak zwanego jaila z bsd ... wynikało to jasno z treści posta

Znam FBSD i znam jaile.

No tu takiego czegoś nie ma i takich narzędzie. Musisz chrootować katalogi za pomocą chroot
tworząc strukture plików taką aby dany deamon urucjomić. Do tego ustawić grsecurity.

I jeśli np chrootuje skrypt w /chroot/home/user/script.sh i w nim przejdę do / to znajdę się w /chroot/ i będę go widział jako / czy wyląduję w /?

Znajdziesz się w katalogu głównym chroota. Tylko pamiętaj, jeśli do działania skryptu potrzebujesz jakichś bibliotek, zależności, to je też musisz skopiować do "drzewa" chroota. Najogólniej mówiąc odwzorowujesz system w katalogu np: /home/user/chroot/

Tak wiem że trzeba skopiować wszystkie zależności i urządzenia, ostatnie pytanie, jeśli w chroocie chcę uruchomić daemona to wystarczy start-stop-daemon z parametrami --chdir oraz -chuid?

a tak dlaczego rezygnujesz z rozwiazań jail/freebsd? tak z ciekawości pytam?

Trochę nie wiem z czego rezygnuję bo wydawało mi się że tak zwany chroot (nie mylić ze zmianą roota, chodzi sposób odizolowania procesu) to to samo co jail. Różnica taka że jail są w bsd, a na unixach jest coś co nie do końca działa jak jail bo jest słabsze i nazywa się chroot.

A co Ci brakuje w jailu?? że mowisz nie do końca działa? kłopoty z aktualizacją?
montowanie portów w jailach?

jail jest świetnym rozwiązaniem

Próbowałeś ezjail? Troche prostsze w zarządzaniu. No i każde więzienie posiada wspólną cześć zwaną base system (każde więzienie jeden ten sam wspólny base system), no i już odrebną swoją strukture katalogów w zależności co tam masz.

ezjail

cd /usr/ports/sysutils/ezjail
make install clean
cd /usr/local/etc
cp ezjail.conf.sample ezjail.conf
ezjail-admin install
ezjail-admin create www 10.0.0.236
ezjail-admin create mail 10.0.0.237
ezjail-admin create dns 10.0.0.238
ezjail-admin create ftp 10.0.0.239

/etc/rc.conf
ezjail_enable="YES"
ifconfig_em0_alias0="inet 10.0.0.236 netmask 255.255.255.0"
ifconfig_em0_alias1="inet 10.0.0.237 netmask 255.255.255.0"
.....
usr/local/etc/rc.d/ezjail.sh onestart www
...

Strach się przyznać, ale FreeBSD znam lepiej od Debiana. Zaraz mnie chyba tu zlinczują.
]:>