Hallo!
Vorweg - es handelt sich hier um ein Crossposting aus dem debianforum.
debianforum.de • Thema anzeigen - Programm abschotten
So. Meine Frage nun, wäre nun das chroot jail wirklich notwendig? Wie leicht ist es daraus zu entkommen? Oder reicht tatsächlich eine restricted Shell, kein Login für root (* in /etc/shadow) und eine vernünftige Konfiguration von sudo?
Dass es keine 100% Sicherheit geben kann ist mir klar, aber ich tue mein möglichstes. Ich denke mein Server ist überdurchschnittlich abgesichert, ich will aber über mögliche Einbruchszenarien bescheid wissen und es dem Cracker ziemlich schwer machen.
Gruß
Cayton
Vorweg - es handelt sich hier um ein Crossposting aus dem debianforum.
debianforum.de • Thema anzeigen - Programm abschotten
Hallo! Ich bastel schon ein paar jährchen mit Linux und hab mir jetzt einen Rootserver gemietet, da ich so meinen kleinen Minecraft Server günstiger betreiben kann.
Und da kommt auch schon das Problem: (Verwende Debian Squeeze 6.0.7) Der Server ist zwar mMn ganz gut gegen Angriffe geschützt, Logs werden täglich gelesen, unnötige Dienste sind deaktiviert usw. Allerdings ist die Serversoftware für Minecraft in Java geschrieben, und da habe ich ernsthaft Sicherheitsbedenken. Deshalb möchte ich diese Softwäre vom Rest des Systems ein wenig "abschotten". Sie läuft schon unter einem eigenen Benutzer, wie könnte ich weiter vorgehen?
Ansatz 1: Dem Benutzer eine limitierte Shell zuweisen und den zugriff auf andere Shells unterbinden. Allerdings: Wie sieht es aus, wenn tatsächlich über die Anwendung eingedrungen wird? Landet der Angreifer dann auch in der Standartshell des Benutzers?
Ansatz 2: Ein chroot-jail erstellen. Würde ich persönlich ungerne tun, da es ein größerer Aufwand ist. Alles muss aktuell gehalten werden und so. Würde deshalb ganz gern den ersten Ansatz verfolgen. Ist das so möglich? Lg Cayton
Und da kommt auch schon das Problem: (Verwende Debian Squeeze 6.0.7) Der Server ist zwar mMn ganz gut gegen Angriffe geschützt, Logs werden täglich gelesen, unnötige Dienste sind deaktiviert usw. Allerdings ist die Serversoftware für Minecraft in Java geschrieben, und da habe ich ernsthaft Sicherheitsbedenken. Deshalb möchte ich diese Softwäre vom Rest des Systems ein wenig "abschotten". Sie läuft schon unter einem eigenen Benutzer, wie könnte ich weiter vorgehen?
Ansatz 1: Dem Benutzer eine limitierte Shell zuweisen und den zugriff auf andere Shells unterbinden. Allerdings: Wie sieht es aus, wenn tatsächlich über die Anwendung eingedrungen wird? Landet der Angreifer dann auch in der Standartshell des Benutzers?
Ansatz 2: Ein chroot-jail erstellen. Würde ich persönlich ungerne tun, da es ein größerer Aufwand ist. Alles muss aktuell gehalten werden und so. Würde deshalb ganz gern den ersten Ansatz verfolgen. Ist das so möglich? Lg Cayton
So. Meine Frage nun, wäre nun das chroot jail wirklich notwendig? Wie leicht ist es daraus zu entkommen? Oder reicht tatsächlich eine restricted Shell, kein Login für root (* in /etc/shadow) und eine vernünftige Konfiguration von sudo?
Dass es keine 100% Sicherheit geben kann ist mir klar, aber ich tue mein möglichstes. Ich denke mein Server ist überdurchschnittlich abgesichert, ich will aber über mögliche Einbruchszenarien bescheid wissen und es dem Cracker ziemlich schwer machen.
Gruß
Cayton