[redhat-list-de] chroot

Alexander Dalloz alexander.dalloz at uni-bielefeld.de
Tue Mar 2 16:14:40 UTC 2004 

Am Di, den 02.03.2004 schrieb Bernd Tannenbaum um 15:08:
> Hallo auch,
> 
> Am Dienstag, 2. März 2004 13:59 schrieb Jörg Linnenkohl:
> > Hallo Liste,
> >
> > leider bin ich kein Sysadmin-Held, daher frage ich lieber nach,
> > ehe ich etwas kaputt mache.
> >
> > Ich habe einen User-Account, den ich auf ein spezielles Verzeichnis
> > einschränken möchte. Ein eingeloggter User soll sich nur hier
> > bewegen können.
> >
> > Ich dachte immer, sowas macht man mit chroot(), aber die manpage
> > sagt mir nicht viel. Wie kann ich also ein solches Verhalten
> > einrichten?
> 
> Falls sich der user auf der Maschiene selbst einloggt, hätte ich da ne 
> Anleitung. Aber sei gewarnt, das ist etwas komplizierter. 
> Falls sich der User nur remote einloggt, z.B. über ssh, so kann ssh 
> selbst das gewährleisten. 
> 
> Die Anleitung ist was älter, hat aber bei mir unter Suse damals zum 
> Erfolg geführt.
> 
> ############################################
> Anleitung:
> Prinzip der "chroot-Umgebung":
> Mit dem Befehl chroot unter linux kann einem eingeloggten User ein 
> falsches root-Verzeichnis vorgespielt werden. Man setzt bsp. das 
> Home-Verzeichnis eines users über chroot als root-Verzeichnis. In 
> diesem Fall endet der Verzeichnisbaum hier, das Home-Verzeichnis wird 
> als "/" angezeigt und man kann nicht mehr in eine höhere Ebene 
> wechseln. Nachteil daran ist, dass das Betriebssystem diese Illusion 
> ebenfalls für wahr nimmt und daher keine Befehle, 
> Konfigurationsdateien, Libraries etc. mehr findet, die sich alle im 
> wirklichen Hauptpfad befinden. Will man also einem User die 
> Möglichkeit geben, in seiner neuen Umgebung Befehle wie "ls" oder 
> "rm" auszuführen, müssen diese Befehle samt Bibliotheken in den neuen 
> Pfad kopiert bzw. dort neu kompiliert werden. Daher muß man innerhalb 
> der chroot-Umgebung noch mal einen kleinen Verzeichnisbaum 
> installieren, in dem alle gewünschten Funktionalitäten implementiert 
> sind. Hat man dies getan, muß der Login-Vorgang noch so verändert 
> werden, dass beim Einloggen die chroot-Umgebung aktiviert wird. So 
> kann man einen User in einen Käfig sperren, den er nicht verlassen 
> kann und stellt ihm nur genau die Befehle und Programme zur 
> Verfügung, die man noch einmal extra für ihn in seiner Umgebung 
> implementiert hat.

[ schnipp Anleitung ]

Ein User mit hinreichendem Know How kommt da raus. Hinweise, wie das
geht, findet man per google. Also als Warnung: das sudo/chroot
"Gefrickel" ist nicht wirklich sicher.

Für echte jails/chroots bräuchte man kernel basierte Erweiterungen und
policy Strukturen wie grsecurity oder SELinux.

> Viel Glück,
> Bernd

Alexander


-- 
Alexander Dalloz | Enger, Germany | GPG key 1024D/ED695653 1999-07-13
Fedora GNU/Linux Core 1 (Yarrow) on Athlon CPU kernel 2.4.22-1.2174.nptl
Sirendipity 16:34:28 up 11 days, 18:08, load average: 2.09, 1.44, 1.07 
                   [ Γνωθι σ'αυτον - gnothi seauton ]

More information about the redhat-list-de mailing list