[sisyphus] chroot

Вс Сен 29 18:46:29 MSD 2002

коль пошла речь о безопасности, то продолжим немножко:
сунулся я посмотреть на мастеровом сервере сколько и какие процессы у 
нас работают от рута:
(маленький коментарий: сервер предназначен для хождения в инет где-то 
около 10-и
пользователей, соответственно для этих пользователей на этом сервере
организованы почтовые ящики, прозрачный прокси, стоит апач для
нужд временно что-то в инет выложить, стоит самба для апача,
дистрибутив - мастер2, apt настроен на фтп альтлинукса -
i586 classic)
ну собственно вот:

[/home/dimka]$ ps axu|grep ^root
root         1  0.0  0.1  1268  484 ?        S    Sep22   0:04 init [3]
root         2  0.0  0.0     0    0 ?        SW   Sep22   0:00 [keventd]
root         3  0.0  0.0     0    0 ?        SWN  Sep22   0:04 
[ksoftirqd_CPU0]
root         4  0.0  0.0     0    0 ?        SW   Sep22   0:05 [kswapd]
root         5  0.0  0.0     0    0 ?        SW   Sep22   0:00 [bdflush]
root         6  0.0  0.0     0    0 ?        SW   Sep22   0:01 [kupdated]
root         7  0.0  0.0     0    0 ?        SW<  Sep22   0:00 [mdrecoveryd]
root       152  0.0  0.0     0    0 ?        SW   Sep22   0:00 [kjournald]
root       779  0.0  0.2  1572  708 ?        S    Sep22   0:59 
/sbin/syslog-ng
root       832  0.0  0.2  1480  644 ?        S    Sep22   0:00 crond
root       849  0.0  0.3  2076  892 ?        S    Sep22   0:07 
/usr/sbin/xinetd
root       866  0.0  0.4  2504 1260 ?        S    Sep22   0:06 
/usr/sbin/sshd
root      1309  0.0  0.4  3328 1168 ?        S    Sep22   0:04 
/usr/lib/postfix/
root      1346  0.0  0.4  3756 1108 ?        S    Sep22   0:00 squid -D
root      1366  0.0  0.7  4640 1956 ?        S    Sep22   0:00 smbd -D
root      1373  0.0  0.6  3592 1708 ?        S    Sep22   0:02 nmbd -D
root      1393  0.0  0.1  1232  416 tty1     S    Sep22   0:00 
/sbin/mingetty tt
root      1394  0.0  0.1  1232  416 tty2     S    Sep22   0:00 
/sbin/mingetty tt
root      1395  0.0  0.1  1232  416 tty3     S    Sep22   0:00 
/sbin/mingetty tt
root      1882  0.0  0.5  4212 1504 ?        S    Sep22   0:00 httpd 
-DHAVE_HTTP
root     22847  0.0  1.0  5128 2672 ?        S    15:18   0:00 smbd -D
root     22865  0.0  0.9  5116 2416 ?        S    15:22   0:00 smbd -D
root     23631  0.0  0.6  5840 1776 ?        S    18:07   0:00 
/usr/sbin/sshd

поехали:
1. первые семь пунктов - пропускаем - хез
2. 779 - логи - я не представляю как он работает, но может его можно 
было бы от какого юзера пускать ? - тоже пропускаем
3. 832 - планировщик, тут конечно в лоб - он должен от рута работать, 
хотя можно придумать безрутовую реализацию, ладно - тоже пропускаем
4. 849 - суперсервер
5. 1309 - мыло - тут непонятно - нафига ему рут ? и тем более чрут?
6. 1346 - прокся - вот уж кого не ожидал в этом списке увидеть!
7.  1366, 22847, 22865, 1373 - самба: тоже спрашивается нафига ей рут? - 
своя система авторизации (smbpasswd), может её от nobody пускать ?
    я не очень с ней разбирался но что-то мне подсказывает, что уж 
она-то должна иметь возможность от рута не работать....
8. 1393 1394 1395 - совсем непонятно зачем им рут ? если все равно на 
входе авторизацию всегда проводит - ну ладно - тут пропускаем
9. 1882 - апач - опять? кто тут рассказывал про чрут ? идите сюда!
10. 23631 - ssh - тоже по здравому размышлению рут ему не нужен

итак, самые "часто атакуемые сервера" - апач, постфикс, самба, ссш 
работают под рутом,
таким образом вопрос "а нафига им чрут?" очень актуален,
и еще более актуален вопрос вывода этих сервисов из под рута.

ладно - сквид - пускается из под рута, потом форки его уже от имени 
пользователя squid работают,
а почему его нельзя от этого пользователя и пускать ?
самба....

а постфикс сидит под чрутом ? зачем ?