Bonjour,
J'ai lu dans plusieurs articles qu'il ne faut jamais utiliser chroot comme un outil de sécurisation.
Ceci étant, il est courrant de sécuriser BIND avec chroot.
De plus, j'utilise bien dans un VE d'OpenVZ ... Que pensez vous de l'utilisation de chroot dans ce contexte ?
Croyez-vous que cela soit nécessaire ?
Merci
Chrooter BIND ou Pas ?
Modérateur: modos Ixus
5 messages
• Page 1 sur 1
Chrooter BIND ou Pas ?
par Azman » 24 Mars 2010 23:21
Ipcop 1.4.0
PII 400Mhz
128Mo SDRAM
6Go DD
Je vous souhaite une agréable journée et vous remercie pour vos réponses...
PII 400Mhz
128Mo SDRAM
6Go DD
Je vous souhaite une agréable journée et vous remercie pour vos réponses...
-
Azman - Major
- Messages: 81
- Inscrit le: 30 Jan 2003 01:00
- Localisation: France
par ccnet » 24 Mars 2010 23:33
J'ai lu dans plusieurs articles qu'il ne faut jamais utiliser chroot comme un outil de sécurisation.
Auriez vous sous la main encore une ou plusieurs références de ces articles ?
Selon la façon dont l'on considère cette formule il y a plusieurs réponses possibles, d'où ma question.
Si l'on compte uniquement et exclusivement sur chroot pour sécuriser un système c'est assurément une conception limitée. Il reste qu'un environnement chrooté complique significativement la tâche d'un agresseur.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par jdh » 24 Mars 2010 23:46
Alan Cox a écrit "chroot is not and never has been a security tool" ce qui parait clair et définitif !
(Il n'en reste pas moins que certains logiciels sont conçus en mode chroot, par exemple Postfix.)
Bind doit être aussi sécurisé par lui-même (utilisation des acl puis les instructions allow qui vont bien). Et, dois-je l'ajouter, être dans une version la plus à jour (bannir autre que chose que la v9).
S'il existe de multiples techniques de sortie de chroot ("sortir de chroot" = 8500 liens !), il est sous doute possible de sortir aussi d'une VE et peut-être sans plus de difficulté.
Il faut aussi rappeler que l'on ne doit mélanger des VM normalement présentes dans des zones différentes ..
(Il n'en reste pas moins que certains logiciels sont conçus en mode chroot, par exemple Postfix.)
Bind doit être aussi sécurisé par lui-même (utilisation des acl puis les instructions allow qui vont bien). Et, dois-je l'ajouter, être dans une version la plus à jour (bannir autre que chose que la v9).
S'il existe de multiples techniques de sortie de chroot ("sortir de chroot" = 8500 liens !), il est sous doute possible de sortir aussi d'une VE et peut-être sans plus de difficulté.
Il faut aussi rappeler que l'on ne doit mélanger des VM normalement présentes dans des zones différentes ..
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par Azman » 25 Mars 2010 19:28
Bonsoir,
Il y a notamment le site http://www.losurs.org/docs/howto/Chroot-BIND.html#toc5
mais beaucoup d'autres sites expliquent cette pratique qui va à l'encontre de cette citation d'Alan Cox
"chroot is not and never has been a security tool", que reprend jdh.
Jdh :
Est il vraiment possible de sortir d'un VE openVz ou vous faites une supposition?
Merci pour vos réponses
Il y a notamment le site http://www.losurs.org/docs/howto/Chroot-BIND.html#toc5
mais beaucoup d'autres sites expliquent cette pratique qui va à l'encontre de cette citation d'Alan Cox
"chroot is not and never has been a security tool", que reprend jdh.
Jdh :
Est il vraiment possible de sortir d'un VE openVz ou vous faites une supposition?
Merci pour vos réponses
Ipcop 1.4.0
PII 400Mhz
128Mo SDRAM
6Go DD
Je vous souhaite une agréable journée et vous remercie pour vos réponses...
PII 400Mhz
128Mo SDRAM
6Go DD
Je vous souhaite une agréable journée et vous remercie pour vos réponses...
-
Azman - Major
- Messages: 81
- Inscrit le: 30 Jan 2003 01:00
- Localisation: France
par jdh » 25 Mars 2010 23:49
L'objet de chroot est, comme son nom l'indique, de substituer la racine (/) pour un process, de façon à éviter que, si le process venait à pris sous contrôle, cela donne accès à l'ensemble du système c'est à dire la racine (/).
Cela n'est pas suffisant car cela devrait forcément s'accompagner d'un changement d'user pour le process : si on chroot un process qui tourne en root cela créé pas mal de facilité pour sortir de chroot.
Le mécanisme de chroot est notable au niveau de bind, en partie à cause de faiblesse répétée de bind v4 puis v8. Postfix, pourtant peu connu pour ses failles, utilise aussi le chroot ce qui entraine par exemple l'utilisation de socket pour accéder à MySQL (lequelles sockets peuvent être l'occasion de sortie de chroot !).
Les VE sont aussi une forme de prison (chroot=jail), plus poussé encore. Mais à partir du moment où il reste des processus devant tourner dans un ring de niveau inférieur (i.e. plus privilégiée) et qu'il y a, forcément, des api de liens avec des ressources justement offertes par le noyau en ring 0 ou -1, cela laisse entrevoir une éventuelle élévation de privilèges.
C'est d'ailleurs pour cela qu'il y a 2 principes incontournables :
- si l'hyperviseur est compromis, toute les VM seront compromises,
- on ne virtualise que des VM appartenant à une même zone.
Sur le sujet chroot, j'ai retrouvé le lien de Cedric Blancher qui cite la réflexion ancienne d'Alan Cox : http://sid.rstack.org/blog/index.php/222-prison-break (présentation toujours très bonne et très précise de certains sujets sur la sécurité, notamment wifi, merci à lui).
Est cité la revue MISC dont un numéro paru, il y a peut-être un an, détaillait la sécurité en virtualisation (et notamment le jeu des anneaux). Il faut noter qu'un environnement peut savoir s'il est ou non virtualisé (par exemple, le nom/marque du disque ...). J'écris donc potentiellement susceptible de sortie.
Mais il est clair que si la sortie de chroot est possible sans être forcément aisée, la sortie de VE est bien moins documentée ... ce qui ne veut ni dire possible ni impossible.
Il est aussi possible d'utiliser d'autres services que Bind comme par exemple djbdns (pour les fans de Dr Bernstein ...). Cela ne dispense pas d'une configuration irréprochable de l'outil ...
Cela n'est pas suffisant car cela devrait forcément s'accompagner d'un changement d'user pour le process : si on chroot un process qui tourne en root cela créé pas mal de facilité pour sortir de chroot.
Le mécanisme de chroot est notable au niveau de bind, en partie à cause de faiblesse répétée de bind v4 puis v8. Postfix, pourtant peu connu pour ses failles, utilise aussi le chroot ce qui entraine par exemple l'utilisation de socket pour accéder à MySQL (lequelles sockets peuvent être l'occasion de sortie de chroot !).
Les VE sont aussi une forme de prison (chroot=jail), plus poussé encore. Mais à partir du moment où il reste des processus devant tourner dans un ring de niveau inférieur (i.e. plus privilégiée) et qu'il y a, forcément, des api de liens avec des ressources justement offertes par le noyau en ring 0 ou -1, cela laisse entrevoir une éventuelle élévation de privilèges.
C'est d'ailleurs pour cela qu'il y a 2 principes incontournables :
- si l'hyperviseur est compromis, toute les VM seront compromises,
- on ne virtualise que des VM appartenant à une même zone.
Sur le sujet chroot, j'ai retrouvé le lien de Cedric Blancher qui cite la réflexion ancienne d'Alan Cox : http://sid.rstack.org/blog/index.php/222-prison-break (présentation toujours très bonne et très précise de certains sujets sur la sécurité, notamment wifi, merci à lui).
Est cité la revue MISC dont un numéro paru, il y a peut-être un an, détaillait la sécurité en virtualisation (et notamment le jeu des anneaux). Il faut noter qu'un environnement peut savoir s'il est ou non virtualisé (par exemple, le nom/marque du disque ...). J'écris donc potentiellement susceptible de sortie.
Mais il est clair que si la sortie de chroot est possible sans être forcément aisée, la sortie de VE est bien moins documentée ... ce qui ne veut ni dire possible ni impossible.
Il est aussi possible d'utiliser d'autres services que Bind comme par exemple djbdns (pour les fans de Dr Bernstein ...). Cela ne dispense pas d'une configuration irréprochable de l'outil ...
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
5 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité