Bon, voilà, en gros on dit toujours qu'un chroot-jail ne sert à rien s'il y a un exploit root, car en deux coups de chroot on peut remonter d'un niveau hors de la prison chroot.
http://www.bpfh.net/simes/computing/chroot-break.html
http://www.linuxsecurity.com/featu [...] ry-99.html
etc.
Bon, mais alors moi je propose d'utiliser NFS avec l'option
all_squash pour empêcher d'accéder au système en tant que root :
 
la cage est dans /jail/
/etc/exports :
/jail/  localhost(ro,all_squash,anonuid=2000,anongid=2000)
 
/etc/passwd:
jail:*:2000:2000:Jail fake usermnt/jail/bin/false
 
et dans /etc/fstab :
localhostjail/ /mnt/jail/ ro,soft,intr 0 0
 
Là, il suffit que le user jail n'ait accès à rien dans / (du genre, il n'est pas dans le groupe user et tous les dossiers sauf /mnt sont  root:users et chmod 750). Du coup, même si je suis root dans mon chroot, lorsque j'accède au système de fichiers à travers NFS je suis physiquement "jail".
 
Ma question est : si la solution était si simple, ça se saurait.
Donc, qu'est que j'ai raté ?
 
 
 

Up

Mouais ... passer par un systeme de fichier bugger et tres peu securiser, je ne vois pas trop l'interet ...
Et puis ca deplace le pbs ... enfin je ne vois pas l'interet d'un tel montage !
Le mieux c'est d'avoir un noyau à jour et securiser pour ne pas avoir d'exploit.
Donc le dernier noyau + les patchs grsecurity pour que se soit encore + secure.
 
A+