înregistrare Logare
Puncte:0
avatar Server

Pagina de manual OpenSSH ChrootDirectory observație despre siguranță

drapel in
polettix

În pagina de manual sshd_config(5) din sistemul meu am găsit această observație în secțiunea despre ChrootDirectory:

Pentru siguranță, este foarte important ca ierarhia directoarelor să fie împiedicat de modificare de către alte procese din sistem (mai ales cei din afara închisorii). Configurarea greșită poate duce la medii nesigure pe care sshd(8) nu le poate detecta.

Există undeva unde pot citi despre vulnerabilitățile asociate dacă un proces extern efectuează modificări la ierarhia directoarelor?

Mă gândesc să înființez un server SFTP în care să pot arunca câteva fișiere pentru a le partaja cu utilizatori externi, limitând accesul la directoare țintă specifice fiecăruia dintre ei.

În timp ce acești utilizatori ar fi restricționați la utilizarea SFTP numai și numai la acele directoare (mulțumită lui ChrootDirectory), aș putea în continuare să pun fișierele la loc din când în când, ceea ce s-ar întâmpla alte procese din sistem ceea ce ar fi în afara închisorii.

Mă întreb dacă acest caz simplu de utilizare poate duce și la o anumită vulnerabilitate - orice lumină ar fi foarte apreciată!

63
0 + 0
Puncte:2
Paul avatar Server
drapel cn
Paul

The chrootdirectory cere rădăcină proprietar și grup ("La pornirea sesiunii, sshd(8) verifică dacă toate componentele căii sunt directoare deținute de rădăcină, care nu pot fi scrise de către niciun alt utilizator sau grup.").

SFTP este printre cele mai simple de configurat, dar setarea permisiunilor de director 755 și crearea unui subdirector cu 775 permisiuni cu grup ceva de genul unde grup este doar utilizatorii pentru procesele care necesită acces.

rădăcină rădăcină drwxr-xr-x /var/chrootdir
drwxrwxr-x grup de procese rădăcină /var/chrootdir/sftpdrop

Dacă procesele nu pot fi de încredere pentru a salva fișierele în locație, ar putea fi utilizat un proces diferit, chiar și un job cron, pentru a salva fișierele în directorul de transfer.

Aceste tipuri de întrebări de securitate pot primi o mulțime de răspunsuri bazate pe diferite experiențe diferite, dar problema evidentă mi se pare a fi un proces care salvează informații în interiorul directorului chroot care nu ar trebui să fie disponibil pentru utilizatorii chrootati sau citirea informațiilor din interior. a chrootdirectory care poate fi modificat de utilizatorul chroot.

0 + 0
drapel in
polettix
„Dacă procesele nu pot fi de încredere pentru a salva fișierele în locație, ar putea fi folosit un proces diferit, chiar și un job cron, pentru a salva fișierele în directorul de transfer.” Acesta este ceea ce am avut în vedere - un flux unidirecțional de date din sistem către lumea externă, pompat din procesele din sistemul mai larg. De aceea, întreb - declarația din documente este destul de la nivel înalt și generală în condițiile prealabile, dar destul de clară în ceea ce ar trebui făcut (adică nu lăsați procesele externe să acceseze ierarhia).
0
Răspunde
Paul avatar
drapel cn
Paul
Care este întrebarea ta, atunci?
0
Răspunde
drapel in
polettix
„Există undeva unde pot citi despre vulnerabilitățile asociate dacă un proces extern efectuează modificări în ierarhia directoarelor?”
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.