silvesterlangen.de

Seite
Menü

Chroot Jail

Was ist das?

Chroot steht für Change Root. Das ist eine Möglichkeit einen Dienst in ein Unterverzeichnis mit allen nötigen Pfaden und Dateien zu verbannen und ihm weißzumachen, dass das das Root-Directory des Systems ist.

So wäre es möglich in einem Beispielunterverschezinis /home/jail/ den benötigten Verzeichnisbaum nachzubilden. Die Chroot-Umgebung /home/jail/ könnte dann /var, /home, /etc, usw. beinhalten. Aber eben nur das, was der Dienst (von mir aus der Apache) wirklich benötigt, um laufen zu können.

Tatsächlich läuft der Apache aber in einer eigenen Chroot-Umgebung, worin der Dienst eingesperrt ist. Schafft ein Angreifer den Dienst zu knacken und auf das System zu gelangen, kann er immer noch nichts machen, da er sich in der Chroot-Umgebung befindet aus die er nicht ausbrechen kann. Wer das noch nicht kennt, dem empfehle ich die Quickvariante, um sich ein Bild davon zu machen und ein bisschen rumzuprobieren.

 

Ein mal machen

Das nun folgende Beispiel zeigt wie man ein ganzes Debian System per Chroot-Umgebung "einsperrt", um darin zu arbeiten. Zunächst installieren wir chroot für die Chroot-Umgebung und debootstrap damit wir uns ein Debiansystem holen können.

apt-get install chroot debootstrap -y

Nun brauchen wir ein Unterverzeichnis wo wir unser Jail haben wollen.

mkdir /home/jail

Die folgende Zeile holt per debootstrap ein fertiges Debian von den offiziellen Debiansourcen.

debootstrap --include linux-image-amd64,grub-pc,locales \
--arch amd64 unstable /home/jail/ http://ftp.us.debian.org/debian

Das sind circa 650 Mb Daten, die nun gezogen werden. Sobald debootstrap fertig ist, kann man auch gleich in die Chroot-Umgebung wechseln mit:

chroot /home/jail/

Hat man sich darin ausgetobt, dann kann man das mit exit wieder verlassen.

Mit einer Chroot-Umgebung kann man so ziemlich fast alles machen, so als wäre es eine eigentständige Installation auf einem System. Sogar x-System ist möglich, wenn man will.

« vorige Seite Seitenanfang nächste Seite »
Seite
Menü
Earned Certificates:
LPIC-1 LPIC-1 LPIC-1
Powered by CMSimple | Template by CMSimple | Login