Jak i czym chroot'ować na Debian 8
: 17 lipca 2016, 19:56
Cześć, jestem nowy jeśli chodzi o pingwiny. Mam problem ze zrozumieniem jak lub czy chrootować jakąś aplikację/daemona/usługę. Pierwszy problem miałem przy instalacji binda, którego jak wszem i wobec wiadomo trzeba a przynajmniej wypadałoby z chrootować, na szczęście istnieje oficjalna instrukcja: https://wiki.debian.org/Bind9#Bind_Chroot.
Ale tak się zastanawiam na czym właściwie to całe chrootowanie polega - jak je wykonać, bo jest cała masa sposobów. Można ręcznie tworzyć strukturę potrzebnych plików tak jak np dla binda w linku w którym podałem lub używać narzędzia typu jailkit. Nie wiem czym te sposoby się różnią, może jailkit robi to samo co ręcznie robiłem z bindem i służy tylko zautomatyzowaniu tego procesu? Jailkit nie jest dostępny jako pakiet dla Debiana w repo, trzeba go pobrać ręcznie, zastanawiam się co to spowodowało? Są jakieś leprze narzędzia do robienia chroota na debianie?
Można też uruchomić daemona przy pomocy start-stop-daemon z parametrami --chdir oraz -chuid. Taki sposób znalazłem na chrootowanie teamspeaka.
Wiem by mieć odpowiednio dobrego chroota trzeba w kompilować w jądro grsecurity, dlatego nie pytam tutaj o aspekt jak umocnić chroota, tylko jak właściwie wykonywać go by był on bezpieczny, zakładając że grsecurity już jest skonfigurowany.
Zastanawiam się też w jaki sposób mogę sprawdzić czy np uruchamiany mój skrypt jest właśnie uruchamiany w jailu/chroot?
Podsumowując, jak zrobić dobrego chroota i jak go sprawdzić?
Ale tak się zastanawiam na czym właściwie to całe chrootowanie polega - jak je wykonać, bo jest cała masa sposobów. Można ręcznie tworzyć strukturę potrzebnych plików tak jak np dla binda w linku w którym podałem lub używać narzędzia typu jailkit. Nie wiem czym te sposoby się różnią, może jailkit robi to samo co ręcznie robiłem z bindem i służy tylko zautomatyzowaniu tego procesu? Jailkit nie jest dostępny jako pakiet dla Debiana w repo, trzeba go pobrać ręcznie, zastanawiam się co to spowodowało? Są jakieś leprze narzędzia do robienia chroota na debianie?
Można też uruchomić daemona przy pomocy start-stop-daemon z parametrami --chdir oraz -chuid. Taki sposób znalazłem na chrootowanie teamspeaka.
Wiem by mieć odpowiednio dobrego chroota trzeba w kompilować w jądro grsecurity, dlatego nie pytam tutaj o aspekt jak umocnić chroota, tylko jak właściwie wykonywać go by był on bezpieczny, zakładając że grsecurity już jest skonfigurowany.
Zastanawiam się też w jaki sposób mogę sprawdzić czy np uruchamiany mój skrypt jest właśnie uruchamiany w jailu/chroot?
Podsumowując, jak zrobić dobrego chroota i jak go sprawdzić?