chroot környezet építés

Linux-kezdő

Hello!

Lehet hogy nem ide tartozik (ha kell akkor majd átrakom) a chroot környezet építés.
Nos, a helyzet a következő:

Adott egy Debian 6.0 (kernel 2.6.32-5-amd64)
Az alábbi cikket használtam alapként: http://chains.ch/2008/01/26/chroot-environment-on-debian/

A "debootstrap" paranccsal építettem meg a chroot környezetet.

Majd utána a passwd fájlban csak az az egy test felhasználó maradt, valamint a "normal" rendszer test felh. hozzáadtam a chroot környezet shadow fájlához.
Telepítettem a pam_chroot csomagot is, ahogy a cikk írta, valamint a pam fájlokat is szerkesztettem.

A normál rendszeremen fut egy OpenSSH szerver. Ha jól tudom, a chroot környezetben is kéne egy OpenSSH szervernek futnia mivel anélkül nem tudok majd hozzá csatlakozni.

Nos, most a rendszer feltelepült. Át is tudok lépni chroot-al a rendszerbe. Viszont ezt kapom:

"I have no name!@debiantest:/#"

Ez mondjuk egyértelmű mivel, nincs root felhasználó a passwd fájlban, viszont test igen.
És mikor a /usr/bin/passwd futtatom
"passwd test" akkor azt mondja hogy:
"passwd: Cannot determine your user name." és ez az amit nem értek.
Hiszen a passwd és a shadowban ott van a user. A csoportja is létezik a /etc/group-ban valamint még a home könyvtárát is létrehoztam.
su parancsal sem tudok átváltani a felhasználóra, mivel ugyan azt mondja hogy nem létezik a felhasználó.

Ha van valakinek valami ötlete azt nagyon szépen megköszönöm?

  • 4892 megtekintés

( jupiter2005ster v | 2011. 10. 01., szo – 17:48 )

gyanakodtam arra, hogy esetleg nem tudja olvasni a passwd/shadow fájlokat, de nem ez volt a gond.
azt hiszem, hogy a PAM modul körül lesz a baj. De ez csak megérzés. Továbbra is várom az ötleteket, ha akad valakinek :)
--
http://hu.opensuse.org
http://phoenix-art.hanzo.hu/

( subchee | 2011. 10. 01., szo – 18:13 )

Sok a gond, nem kevés. :)
1) Miért kézzel nyúlkálsz a passwd és shadow fájlokba? Használd a useradd/adduser közül azt, amelyik jobban tetszik.
2) A chroot -ba a chroot paranccsal tudsz belépni, nem ssh-val (alapesetben). Vagy mire akarod használni az egészet?

( Kayapo | 2011. 10. 01., szo – 18:32 )

Pedig a leírás jónak tűnik, auth logban lenne érdemes hibát keresni! Az ssh -pedig nem feltétlen kell a chrootban.

----
올드보이
http://molnaristvan.eu/

( hrgy84 | 2011. 10. 01., szo – 18:45 )

Nos, most a rendszer feltelepült. Át is tudok lépni chroot-al a rendszerbe. Viszont ezt kapom:

"I have no name!@debiantest:/#"

vs.

Majd utána a passwd fájlban csak az az egy test felhasználó maradt,

Tudtommal chroot-olni root-kent lehet csak. Viszont a passwd fajlban nincs root felhasznalo.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

A chroot nem biztonsági megoldás, hanem szoftvertesztelő eszköz (http://kerneltrap.org/Linux/Abusing_chroot). A`mkdir foo;chroot foo;cd ..` kitörés mondjuk általában mégsem működik, mert a chroot parancs chdir rendszerhívást is hív. Mivel azonban sokan rászoktak a chrot boztonsági megoldásként való használatára, a Grsecurity kernel patch-csel ténylegesen azzá fejleszthető, az RSBAC patch pedig egy új chroot szerű rendszerhívást vezet be, ami kb. egyenértékű a Grsecurity megerősített chroot-jával. A Grsecurity-vel mindenesetre kevesebb a szívás.

Egyébként tényleg nem értem, miért egy egész rendszert akarsz a chroot-ba rakni. Tényleg célszerűbb (és biztonságosabb) lenne csak egy szolgáltatást bevinni.

Tudnál adni valami tippet/kulcs szavakat arra, hogy hogyan kell csak bizonyos szolgáltatásokat chroot-ni?
Amit találtam a Debian oldalon ott az Apache szolgáltatás van "bebörtönözve", de még nem volt időm végigmenni rajta.

--
http://hu.opensuse.org
http://phoenix-art.hanzo.hu/