#1 24. Dezember 2010 Hallo zusammen, ich bin gerade dabei meinen Server etwas mehr abzusichern (stark paranoid ) und möchte in diesem Sinne den Internet Content und den Kern Teil des Servers virtuell von einander trennen (ich habe mir das ganze so etwas wie VLans vorgestellt nur mit einer IP und in den oberen 3 Layern). Momentan sieht es so aus, dass sich Shell User (3 Stück) nur mit einen Private Key und PW einloggen dürfen. Diese Accounts haben dann keinerlei sudo Rechte. Zu diesen Accounts gibt es dann entsprechende Admin Accounts welche sudo eingeschränkt verwenden dürfen. Diese oben genannten Accounts agieren in der "Kern" Umgebung des Roots sprich in ihren eigenen /home/* Verzeichnissen oder eben entsprechend mit anderen Programmen in /etc/* Ausserdem gibt es nun verschiedene Webseiten mit Subdomains welche sich in /var/www/ befinden. Die FTP Zugänge hier sind schon mit CHROOT abgesichert (die anderen shell Accounts können nur FTP Zugang mit einer speziellen Gruppe erhalten und sind dann im ~ CHROOTED). Nun habe ich jedoch zum testen eine c100.php auf meinen Server geladen und bin trotz CHROOT Umgebung in den Webaccount bis zu meiner sshd config gekommen. Nun zu meinen Fragen: 1) Gibt es eine Möglichkeit den /var/www/ Ordner so zu restriktieren, dass eine dort gespawnte shell nicht weiter als /var/www vordringen kann? 2) Was haltet ihr von dem Sicherheitskonzept genrell und fallen euch noch Verbesserungen oder Sicherheitslücken ein, die gestopft werden können. Frohe Weihnachten wünscht, Silthus + Multi-Zitat Zitieren
#2 26. Dezember 2010 AW: [Debian 5] Bereiche eines Server virtuell abtrennen Niemand ne Idee? Nichtmal zu Punkt 2? + Multi-Zitat Zitieren
#3 26. Dezember 2010 AW: [Debian 5] Bereiche eines Server virtuell abtrennen Nunja sicher bist du nie (siehe carders xD) Sofern du aber immer schoen Updates/Upgrades machst, und alle neuen Sicherheitspatches deiner jeweiligen Distribution einspielst, bist du auf der sicheren Seite. Aber wie gesagt ganz sicher kannste nie sein. Wegen Punkt 1: Vielleicht waere ein Restricted Mode fuer die Bash ja etwas (Bash Reference Manual: The Restricted Shell) + Multi-Zitat Zitieren
#4 26. Dezember 2010 AW: [Debian 5] Bereiche eines Server virtuell abtrennen scheinbar war mit deinem chroot etwas nicht in ordnung, wenn man nach wie vor auf den rest des systems zugreifen konnte. im idealfall sperrst du die verschiedenen prozesse in in ein "jail" ein. unter debian hab ich bisher noch nicht mit jails gearbeitet, unter freebsd lässt sich das aber "relativ" leicht bewerkstelligen. man muss sich nur bissl in ezjail-admin und pf (firewall system, analog zu iptables, nur meiner meinung nach logischerer aufbau der config als bei iptables) einlesen zwecks NAT. carders ham keine jails verwendet, sieht man ja was rausgekommen ist ^^ + Multi-Zitat Zitieren
#5 26. Dezember 2010 AW: [Debian 5] Bereiche eines Server virtuell abtrennen Danke erstmal für eure Antworten =) Weshalb die c100 auf den ganzen Root konnte hab ich mittlerweile herausgefunden. Es lag daran, dass der PHP Safe Mode aus war. Danach hat CHROOT wie gewünscht funktioniert. Meine Frage wäre nun: Was ist sicherer? Einem User die /bin/false Shell zuzuweisen oder eine restricted Shell? Es geht mir hier ja hauptsächlich um die Web User auf deinen etwas "öffentlich" im Internet sichtbar ist. Die ganzen anderen User, z.B. Teamspeak sind schon in dem Sinne eingeschränkt, dass sie sich nicht einloggen dürfen. Aber ich werde hier mal die Restricted Shell ausprobieren. Danke für den Tipp =) Habe auch was schönes als Ersatz für Jail gefunden. Das ganze nennt sich pam-chroot und macht es relativ einfach verschiedene Chroot Umgebungen aufzusetzen. + Multi-Zitat Zitieren