Chroot prostředí - I (diskuse)

Přihlášení | Registrace

napište » Zprávičky

AWS oznámil Fastnet, specializovaný vysokorychlostní transatlantický kabel spojující USA a Evropu

dnes 16:22 | IT novinky

Amazon Web Services (AWS) oznámil (en) výstavbu Fastnetu – strategického transatlantického optického kabelu, který propojí americký stát Maryland s irským hrabstvím Cork a zajistí rychlý a spolehlivý přenos cloudových služeb a AI přes Atlantik. Fastnet je odpovědí na rostoucí poptávku po rychlém a spolehlivém přenosu dat mezi kontinenty. Systém byl navržen s ohledem na rostoucí provoz související s rozvojem umělé inteligence a

… více »

Ladislav Hagara | Komentářů: 0

EK zvažuje, jak vyloučit čínské dodavatele z komunikačních sítí v EU

dnes 15:11 | IT novinky

Evropská komise zkoumá možnosti, jak přinutit členské státy Evropské unie, aby ze svých telekomunikačních sítí postupně vyloučily čínské dodavatele Huawei a ZTE. Místopředsedkyně EK Henna Virkkunenová chce změnit doporučení nepoužívat rizikové dodavatele při budování mobilních sítí z roku 2020 v právně závazný požadavek.

Ladislav Hagara | Komentářů: 6

sudo-rs 0.2.10 opravuje 2 bezpečnostní chyby

dnes 12:44 | Bezpečnostní upozornění

sudo-rs, tj. sudo a su přepsané do programovacího jazyka Rust, již obsaženo v Ubuntu 25.10, bylo vydáno ve verzi 0.2.10. Opraveny jsou 2 bezpečnostní chyby.

Ladislav Hagara | Komentářů: 1

Kaspersky pro Linux také pro domácí uživatele

dnes 12:22 | IT novinky

Kaspersky pro Linux je nově k dispozici také pro domácí uživatele.

Ladislav Hagara | Komentářů: 2

.NET MAUI pro Linux a webový prohlížeč

dnes 11:55 | Zajímavý software

Společnost Avalonia UI oznámila, že pracuje na .NET MAUI pro Linux a webový prohlížeč. Vyzkoušet lze demo v prohlížeči. Když bude backend stabilní, bude vydán jako open source pod licencí MIT.

Ladislav Hagara | Komentářů: 1

Firefox 145.0

včera 16:44 | Nová verze

Byl vydán Mozilla Firefox 145.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Ukončena byla podpora 32bitového Firefoxu pro Linux. Přidána byla podpora Matrosky. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 145 bude brzy k dispozici také na Flathubu a Snapcraftu.

Ladislav Hagara | Komentářů: 0

Lidé.cz jsou zpět jako sociální síť

včera 13:33 | IT novinky

Lidé.cz (Wikipedie) jsou zpět jako sociální síť s "ambicí stát se místem pro kultivované debaty a bezpečným online prostředím".

Ladislav Hagara | Komentářů: 45

Lazarus 4.4

včera 10:33 | Nová verze

Byla vydána nová verze 4.4 multiplatformního integrovaného vývojového prostředí (IDE) pro rychlý vývoj aplikaci (RAD) ve Free Pascalu Lazarus (Wikipedie). Využíván je Free Pascal Compiler (FPC) 3.2.2.

Ladislav Hagara | Komentářů: 0

ASUS Ascent GX10

včera 04:00 | IT novinky

ASUS má v nabídce komplexní řešení pro vývoj a nasazení AI: kompaktní stolní AI superpočítač ASUS Ascent GX10 poháněný superčipem NVIDIA GB10 Grace Blackwell a platformou NVIDIA DGX Spark. S operačním systémem NVIDIA DGX založeném na Ubuntu.

Ladislav Hagara | Komentářů: 5

TDE R14.1.5

včera 03:11 | Nová verze

Desktopové prostredie Trinity Desktop vyšlo vo verzii R14.1.5. Je tu opravená chyba v tqt komponente spôsobujúca 100% vyťaženie cpu, dlaždice pre viac monitorov a nemenej dôležité su dizajnové zmeny v podobe ikon, pozadí atď. Pridaná bola podpora distribúcií Debian Trixie, Ubuntu Questing, RHEL 10 a OpenSUSE Leap 16.

lukve | Komentářů: 8

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (35%)

Gitlab (47%)

Atlassian (18%)

Bitbucket (17%)

Gitea (22%)

Mercurial (15%)

jen git (22%)

jen svn (15%)

Jiné (uvedu v diskusi) (16%)

Celkem 344 hlasů

Komentářů: 16, poslední dnes 18:21

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Články / Chroot prostředí - I / Chroot prostředí - I (diskuse)

Štítky: AbcLinuxu, Bash, KDE, mc, mount, patch, programování, shelly, správci souborů, SSH, Unix, UPS

Nástroje: Začni sledovat (0) ?

Vložit další komentář

16.12.2003 08:27 IW
Rozbalit Rozbalit vše Opravdu?

Odpovědět | Sbalit | Link | Blokovat | Admin

Nechci se s autorem hadat (s chrootem jsem delal jen prakrat), ale tim ze prida resp. prepise jeden radek v /etc/passwd se nic nezmeni, tedy krome domovskeho adresare. Uzivatel bude mit pristup na cely puvodni system! Mozna kdyby si autor precetl HOWTOs, v odkazech, konkretne chroot login HT, pochopil by. Nevim, obcas ty clanky fsckt stoji za piiiiiip

16.12.2003 09:00 Jiří Benc
Rozbalit Rozbalit vše Nevím nevím

Odpovědět | Sbalit | Link | Blokovat | Admin

Také se nechci hádat, ale nejsou náhodou `ls', `mkdir' a spol. interní příkazy bashe? Na co potřebuju /chroot/bin/ls? Řádek

franta:x:505:505::/chroot:/chroot/bin/bash

v /etc/passwd zajistí IMHO pouze nastavení proměnné prostředí HOME na /chroot a spuštění /chroot/bin/bash jakožto uživatelova shellu. Nějak mi uniká, kde se provádí to chrootování.

16.12.2003 09:16 nemo
Rozbalit Rozbalit vše Nevím nevím

hmmm, ls ani mkdir neni prikaz bashe

16.12.2003 09:29 Jiří Benc
Rozbalit Rozbalit vše Nevím nevím

Omlouvám se, máte pravdu. Odvolávám první část svého předchozího tvrzení.

16.12.2003 09:18 Petr Krčmář | skóre: 60 | Liberec
Rozbalit Rozbalit vše Obrázek

Odpovědět | Sbalit | Link | Blokovat | Admin

Taky se přidám: Proč je ten obrázek ve formátu JPEG? Proboha! Vždyť je to dvoubarevné schéma! K tomu je PNG. Kdy už si lidi odvyknou používat JPEG a priori na všechno? JPEG se hodí JENOM na fotky! Ale jinak myslím zajímavý článek pro začátečníky, děkuji. Dvojka snad doplní nedostatky a chyby. Petr

Amatéři postavili Noemovu archu, profesionálové Titanic ...

16.12.2003 09:26 Leoš Literák | skóre: 74 | blog: LL | Praha
Rozbalit Rozbalit vše Obrázek

Naprosty souhlas. JPG se na carovou grafiku vubec nehodi, ma horsi kompresni pomer a navic cary nejsou ostre, jako v originale.

Zakladatel tohoto portálu. Twitter, LinkedIn, blog, StackOverflow

18.5.2004 20:28 VB
Rozbalit Rozbalit vše Re: Obrázek

To vsak nema s chroot nic spolecnyho :-)

16.12.2003 11:33 Beda
Rozbalit Rozbalit vše Obrázek

jpg se nehodi ani na fotky. jpg se hodi akorat na thumbnaily pro pornostranky. mas videt, jak blbe vypada fotka z digitalniho fotaku v jpegu v nejvyssi kvalite. modry/zluty nebo jinak barevny zamlzeny hrany. des.

22.12.2003 16:04 Pavel Beníšek | skóre: 27
Rozbalit Rozbalit vše Obrázek

.. uz jsem nekolikrat videl bmp ... ;)

checking for chicken... must have egg first

16.12.2003 09:22 Jan Kurik | blog: Hemis
Rozbalit Rozbalit vše chroot uzivatele

Odpovědět | Sbalit | Link | Blokovat | Admin

Autor mne teda dostal. Vazne jsem zapochyboval o svych vedomostech a misto, kde se pridava radek

franta:x:505:505::/chroot:/chroot/bin/bash

jsem si precetl nekolikrat a hledal jsem co mi uniklo. Nakonec mne ubezpecil kolega, ze tentokrat neni vyjimecne chyba na me strane :))

16.12.2003 09:53 Leoš Literák | skóre: 74 | blog: LL | Praha
Rozbalit Rozbalit vše jak je to spravne?

mohli byste tady nekdo prosim napsat, jak se to spravne dela? opravime potom clanek, at nemate ostatni ctenare. diky.

Zakladatel tohoto portálu. Twitter, LinkedIn, blog, StackOverflow

16.12.2003 10:03 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše jak je to spravne?

pouzival jsem patch na ssh kde jsem v /etc/passwd zadal cestu k home treba jako /home/.chroot/home/franta a pri nalogovani do ssh me to provedlo chroot /home/.chroot/ Uzavetel kteri meli home normalni /home/user se prihalosvali normalne.
Tak jak je to prezoentovano v tomto clanku by asi musel byt patchnuty shell toho uzvatele nebo tak neco aby provedl chroot.

-- Nezdar není hanbou, hanbou je strach z pokusu.

16.12.2003 10:25 David Jež | skóre: 42 | blog: -djz | Brno
Rozbalit Rozbalit vše jak je to spravne?

Zdravim,
autor mel mozna na mysli restriktivni bash, coz se realizuje budto pomoci bash -r nebo rbash.
-djz

"Yield to temptation; it may not pass your way again." -- R. A. Heinlein

16.12.2003 10:32 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše jak je to spravne?

bash -r je kapku moc restriktivní, tam neuděláš prakticky nic, to je mnohem jednodušší ty účty rovnou zrušit...

16.12.2003 11:14 David Jež | skóre: 42 | blog: -djz | Brno
Rozbalit Rozbalit vše jak je to spravne?

Mno, restriktivni je tak akorat. Budto uzivateli veris a pak ho jailovat nebudes, nebo predpokladas, ze user je parchant kteremu je zapotrebi co nejvic zneprijemnit zivot a nechces aby se z klece dostal a mohl neco nahodou zdrbat a na to je rbash vynikajici :-)

-djz

"Yield to temptation; it may not pass your way again." -- R. A. Heinlein

17.12.2003 09:54 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše jak je to spravne?

Sorry, ale shell, kde není povoleno použít cd nebo přesměrování, je zcela k ničemu a rovná se zrušení účtu, jen je to o něco škodolibější.

16.12.2003 10:14 astar
Rozbalit Rozbalit vše jak je to spravne?

je to pekne popsane v tom HOWTO na ktere je odkaz za clankem.

16.12.2003 10:48 Jan Kurik | blog: Hemis
Rozbalit Rozbalit vše RE: jak je to spravne?

Asi nejjednoduzsi cestou jak to udelat (netvrdim, ze uplne optimalni) je zmenit zminovany radek z "/etc/passwd" na

franta:x:505:505::/chroot:/usr/local/bin/chrootsh

a do adresare "/usr/local/bin" pridat script "chrootsh" s nasledujicim obsahem:

#!/bin/bash
exec /usr/sbin/chroot /chroot /bin/bash

Ten script "chrootsh" musi mit samozrejme nastavem "x" bit.

16.12.2003 10:58 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše RE: jak je to spravne?

To je dost blbá metoda. Nebude fungovat proto, že chroot může udělat jen root, přičemž uživatelův login shell se spouští s jeho uid. Potřebuješ po cestě něco setuid.

16.12.2003 11:17 Jan Kurik | blog: Hemis
Rozbalit Rozbalit vše RE: jak je to spravne?

Pravda. Jsem si to nevyzkousel. :(

16.12.2003 11:01 Martin Rada
Rozbalit Rozbalit vše chroot uzivatele

No ton by ten radek v /etc/passwd mel vypadat napr takto: franta:x:505:505::/chroot:/usr/local/bin/jail. To, co je uvedeno v clanku je radek z /chroot/etc/passwd. Muj postup: adduser franta.... passwd franta addjaiuser /chroot /home/franta /bin/bash franta v /etc/passwd zmenit radek na vyse zminovany tvar. Podrobnejsi info zde http://www.gsyc.inf.uc3m.es/~assman/jail/

16.12.2003 11:16 Martin Rada
Rozbalit Rozbalit vše chroot uzivatele

Omlouvam se za prispevek mimo misu... asi se mel naucit poradne cist.

16.12.2003 10:08 Zdenek Kaminski
Rozbalit Rozbalit vše editace /etc/passwd

Odpovědět | Sbalit | Link | Blokovat | Admin

Hmm, /etc/passwd se needituje oblibenym editorem, nybrz utilitkou vipw. Obdobne pro /etc/group... K tomu, proc je clanek blabol, se jiz vyjadrili ostatni. --sutr

16.12.2003 10:30 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše editace /etc/passwd

Pokud nemáš na počítači pět hádajících se rootů, tak klidně oblíbeným editorem. Jinak článek není celý úplný blábol, blábol je ta část o homech, což ovšem znehodnocuje i jeho zbytek, protože si každý o autorovi něco pomyslí...

17.12.2003 10:05 Zdenek Kaminski
Rozbalit Rozbalit vše Re: editace /etc/passwd

No a uz Ti nekdy vypadl proud behem ukladani /etc/passwd? Me na jednom nejemnovanem fs ano a od Te doby se po vipw pidil, az jsem se dopidil. To neni o hadani se mezi rooty, to je o tom, co nejvice snizit riziko poskozeni pri jakekoliv udalosti... --sutr

18.12.2003 13:39 PaJaSoft
Rozbalit Rozbalit vše Re: editace /etc/passwd

Prominte Zdenku, ale na Vas problem snad existuji systemova reseni a ne to, ze na editaci kazdeho nesmyslu (pardon duleziteho souboru) budu mit extra nastroj/aplikaci, naucim se ji pouzivat apod... Kdyz uz nezacneme u UPS ci RAIDu, co treba aspon zurnalovaci FS?

18.12.2003 16:40 Aldagautr
Rozbalit Rozbalit vše Re: editace /etc/passwd

vipw a vigr jsou naprosto standardni nastroje a jak nazev napovida, je to v podstate editor vi + par uzitecnych sfci navic

16.12.2003 12:37 Radek Podgorny
Rozbalit Rozbalit vše To se stava...

Odpovědět | Sbalit | Link | Blokovat | Admin

...mas tam sice chybu, ale to se stava. Nenech se odradit tema komentarema... Proste to jen v pristim dile (kterej musi prijit brzy) uved na pravou miru a je to...

16.12.2003 17:55 Martin Pavlíček | skóre: 19
Rozbalit Rozbalit vše To se stava...

Diky nekterym za podporu, ale to nic nemeni na tom, ze je to obrovska chyba a ostuda. Timto se moc omlouvam (kdyz se na to ted divam, tak mi neni jasne jak jsem mohl vubec takovou kravinu napsat).

Ten obrazek taky, tam to neni az tak strasne, ale prece.

Ostatni veci tu uz byly vyjasneny (jako cim editovat /etc/passwd, ci jestli jsou prikazy ls, mkdir atd. internimi prikazy bashe).

16.12.2003 21:18 STEFi
Rozbalit Rozbalit vše To se stava...

Hele, s tim vobrazkem bych se nezabyval, vadi to jen par uchylakum :) Mel bys ale udelat nejake opravujici resume, abych teda nakonec vedel kudy vede cesta...

16.12.2003 16:30 Jarda
Rozbalit Rozbalit vše Ještě něco

Odpovědět | Sbalit | Link | Blokovat | Admin

Kromě již několikrát zmíněného nesmyslu se "změnou domovského adresáře" by mě zajímalo, proč se v příkladu mění i UID a GID uživatel franty.

17.12.2003 15:44 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše chroot pro uid != 0

Odpovědět | Sbalit | Link | Blokovat | Admin

Myslim, ze kdyby mel normalni user pravo volat chroot, tak by mu to na par veci bylo (viz "Vytvoření chroot prostředí", bod 1). Nejsem ted u sveho pocitace, takze nemuzu vyzkouset, ale melo by za urcitych podminek fungovat nasledujici:

1) Pokud mam pravo zapisovat na oddil, kde je nejaky setuid program, vytvorim si adresar a do v nem vytvorim link na ten program.

2) Pokud program pouziva nejake dynamicky linkovane knihovny, tak mu do sveho adresare podstrcim modifikovane.

3) chroot do meho adresaere, kde spustim ten setuid program a mam to :)

4) Jsem sice v chrootu, ale jsem root, takze by (ale to prave nemam overene) treba melo jit vytvorit si blokove zarizeni odpovidajici harddisku atd...

Nevim, jestli to by to cele fungovalo, ale to ze normalni user nemuze volat chroot ma svuj vyznam :)

23.12.2003 01:55 Petr Šimeček
Rozbalit Rozbalit vše chroot pro uid != 0

Dobrý den, váš předpoklad je správný. Pokud se Vám podaří vytvořit pod chrootem blokové zařízení, můžete si do chrootu připojit jakýkoliv fs. Stejně tak není daleko od "mount -t proc proc /proc" a máte přístup k procesům - a tedy de-facto nejste v chrootu. Vhodná volba pro opevnění chtootu je zajistit, aby procesy uvnitř chrootu: - nemohly připojovat a odpojovat filesystem - nemohly provést opětovný chroot (viz. níže) - nemohly volat pivot_root() (mění root filesystému) - měly správně nastaven pracovní adresář (eliminuje možnou variantu úniku -> root může opustit "chroot vezeni" tím, že udělá "mkdir blabla; chroot blabla; cd ..") - nemohly volat chmod nebo fchmod na soubory a nastavit jim suid nebo sgid - nemohly provést fchdir na file deskriptor chrootového procesu, ukazující mimo chroot() - nemohly dělat mknod - nemohly připojit segment sdílené paměti vytvořený mimo chroot - nemohly připojit abstraktní Unix socket mimo chroot - nemohly kill, send signal s fcntl, ptrace, capget, setpgid, getpgid, getsig nebo jinak vidět procesy mimo chroot - nemohly zvedat prioritu procesů v chrootu nebo manipulovat s prioritou procesů vně chrootu čehož lze elegantně docílit například pomocí grsecurity patche do kernelu. Například prostá absence binárky chroot, mknod a mount v chrootovém adresáři jistě není správnou cestou :) Petr Šimeček petr@multimedia.cz

20.12.2003 20:03 famke
Rozbalit Rozbalit vše informace chce být svobodná

Odpovědět | Sbalit | Link | Blokovat | Admin

milerád bych si přečetl, jak z chrootu uniknout. proč autor nehodlá rozebírat způsoby jak se z něj dostat? security by obscurity? pokud autor ví, jakým způsobem chroot obejít, proč se o tyto poznatky nehce podělit? je potřeba znát i slabiny systému, aby jej správce mohl chránit.

6.1.2004 18:57 Tomas Matejicek
Rozbalit Rozbalit vše informace chce být svobodná

Autor to nevi. Autor je AMATER! Vzdyt napsat takovou hovadinu, ani si ji NEVYZKOUSET a publikovat ji na webu je zverstvo maximalni. To na abclinuxu nikdo ty clanky necenzuruje? Vzdyt to snad vi kazdej, ze zmenou /etc/passwd vubec nemuzu kyzeneho vysledku docilit... Proboha...

18.3.2006 03:14 Tomas
Rozbalit Rozbalit vše Re: Chroot prostředí - I

Odpovědět | Sbalit | Link | Blokovat | Admin

Nedalo by se psat ze je clanek blabol na zacatku, a ne na konci? Jestli tento serial bude mit vice dilu, usetrilo by to vsem trochu casu. Ale jinak diky za podobne (fungujici) tutorialy, jsem v linuxu totalni noob, abclinuxu.cz je mi docela prinosem.. I diskuze pod clankem byvaji nejmene polovina jeho informacni hodnoty.

10.10.2006 20:56 tomas b
Rozbalit Rozbalit vše Re: Chroot prostředí - I

Odpovědět | Sbalit | Link | Blokovat | Admin

Popravde receno, zda se mi prapodivne, ze pokud je autor natolik schopen, ze dokaze spustit pocitac, popr odeslat mail, ze muze napsat takovou hovadinu. Mozna je autorovi neco kolem deseti let a vubec nevedel o cem psal, ale proc clanek pak neprosel nejakou cenzurou ... Nejakou uroven by to chtelo

30.7.2007 01:20 tuxmartin | skóre: 39 | blog: tuxmartin | Jicin
Rozbalit Rozbalit vše Re: Chroot prostředí - I

Odpovědět | Sbalit | Link | Blokovat | Admin

Pokud bychom se přes to všechno nechtěli vzdát předchozího a samozřejmě nechtěli, aby uživatel pracoval v neomezeném systému, mohli bychom použít tzv. restricted shell (bash), což není úplně ideální, a proto zájemce pouze odkáži na manuálové stránky BASHe a to konkrétně na sekci RESTRICTED SHELL.

S tim rbashem to neni nejlepsi napad, kdyz dam do /etc/passwd

pokus:x:1003:1003:pokus,,,:/home/pokus/:/bin/rbash

tak uzivateli znemoznim provest cd .. ale porad bude moct pomoci mc koukat kam bude chtit.

26.9.2008 22:33 aaa
Rozbalit Rozbalit vše Re: Chroot prostředí - I

pokud tam to mc bude :)

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje