[redhat-list-de] chroot
Alexander Dalloz
alexander.dalloz at uni-bielefeld.de
Tue Mar 2 16:14:40 UTC 2004
Am Di, den 02.03.2004 schrieb Bernd Tannenbaum um 15:08:
> Hallo auch,
>
> Am Dienstag, 2. März 2004 13:59 schrieb Jörg Linnenkohl:
> > Hallo Liste,
> >
> > leider bin ich kein Sysadmin-Held, daher frage ich lieber nach,
> > ehe ich etwas kaputt mache.
> >
> > Ich habe einen User-Account, den ich auf ein spezielles Verzeichnis
> > einschränken möchte. Ein eingeloggter User soll sich nur hier
> > bewegen können.
> >
> > Ich dachte immer, sowas macht man mit chroot(), aber die manpage
> > sagt mir nicht viel. Wie kann ich also ein solches Verhalten
> > einrichten?
>
> Falls sich der user auf der Maschiene selbst einloggt, hätte ich da ne
> Anleitung. Aber sei gewarnt, das ist etwas komplizierter.
> Falls sich der User nur remote einloggt, z.B. über ssh, so kann ssh
> selbst das gewährleisten.
>
> Die Anleitung ist was älter, hat aber bei mir unter Suse damals zum
> Erfolg geführt.
>
> ############################################
> Anleitung:
> Prinzip der "chroot-Umgebung":
> Mit dem Befehl chroot unter linux kann einem eingeloggten User ein
> falsches root-Verzeichnis vorgespielt werden. Man setzt bsp. das
> Home-Verzeichnis eines users über chroot als root-Verzeichnis. In
> diesem Fall endet der Verzeichnisbaum hier, das Home-Verzeichnis wird
> als "/" angezeigt und man kann nicht mehr in eine höhere Ebene
> wechseln. Nachteil daran ist, dass das Betriebssystem diese Illusion
> ebenfalls für wahr nimmt und daher keine Befehle,
> Konfigurationsdateien, Libraries etc. mehr findet, die sich alle im
> wirklichen Hauptpfad befinden. Will man also einem User die
> Möglichkeit geben, in seiner neuen Umgebung Befehle wie "ls" oder
> "rm" auszuführen, müssen diese Befehle samt Bibliotheken in den neuen
> Pfad kopiert bzw. dort neu kompiliert werden. Daher muß man innerhalb
> der chroot-Umgebung noch mal einen kleinen Verzeichnisbaum
> installieren, in dem alle gewünschten Funktionalitäten implementiert
> sind. Hat man dies getan, muß der Login-Vorgang noch so verändert
> werden, dass beim Einloggen die chroot-Umgebung aktiviert wird. So
> kann man einen User in einen Käfig sperren, den er nicht verlassen
> kann und stellt ihm nur genau die Befehle und Programme zur
> Verfügung, die man noch einmal extra für ihn in seiner Umgebung
> implementiert hat.
[ schnipp Anleitung ]
Ein User mit hinreichendem Know How kommt da raus. Hinweise, wie das
geht, findet man per google. Also als Warnung: das sudo/chroot
"Gefrickel" ist nicht wirklich sicher.
Für echte jails/chroots bräuchte man kernel basierte Erweiterungen und
policy Strukturen wie grsecurity oder SELinux.
> Viel Glück,
> Bernd
Alexander
--
Alexander Dalloz | Enger, Germany | GPG key 1024D/ED695653 1999-07-13
Fedora GNU/Linux Core 1 (Yarrow) on Athlon CPU kernel 2.4.22-1.2174.nptl
Sirendipity 16:34:28 up 11 days, 18:08, load average: 2.09, 1.44, 1.07
[ Γνωθι σ'αυτον - gnothi seauton ]
More information about the redhat-list-de
mailing list