Firewall Handbuch für LINUX 2.0 und 2.2 - zurück

links. You will also have to correct any cgi-Skripts or shell Skripts that
have incorrect pathnames in them;
for example: #!/usr/local/bin/perl
Now go around and put out fires.
NOTE:
It is possible to write C-utilities that will remote-shell to a trusting
host [using getservbyname() and rcmd()] to get some time-critical
information that you want to have accessible from your web tree. (Well,
people use web-trees for all kinds of purposes). The utility can screen
options to ensure that only 'safe' requests are sent to the trusting host.
This avoids the necessity of keeping a small UNIX passwd file in your web
tree (but requires a small services file in /wtree/etc/ if you aren't
running NIS).
NOTE:
It is useful to make a shell wrapper that you can use to debug Skript
probems in your web tree. Using exactly the same wrapper as above,
substitute the following in the execl() function:
execl( "/bin/bash","bash", (char *)0 );
Note that it has to be setuid root.
For example, if you call this chroot-ed shell: cr_shell, then on your web
host, you can launch a chroot-ed shell to test Skripts (but do it in a
sub-shell so that you don't destroy your environment):
$ (export PATH=/bin; export HOME=/; /my/path/name/to/cr_shell /wtree )
22.9 Kurzeinführung CHROOT() für WWW-Server
Besonders wichtig ist es stets, WWW-Server, SQL Datenbanken, FTP-Server... so
abzusichern, daß ein Angreifer im Falle eines Einbruchs möglichst wenig Rechte erhält,
und in einem Unterverzeichnis gefangengehalten wird. Es ist selbstverständlich, daß die
Dämonen mit möglichst wenig Rechten gestartet werden. Der Start eines Dämons in einer
CHROOT() Umgebung sollte eigendlich selbstverständlich sein. Viele kommerzielle
Server, wie z.B. der Netscape Enterprise Server, ROXEN Challenger und viele FTP
Dämomen unterstützen diese Funktionalität von Hause aus, sind aber in vielen Fällen
nicht automatisch aktiviert. Schauen Sie bitte zuerst im Handbuch nach, bevor Sie dieser
Installationsanleitung folgen. Sie ist allgemeingültig auf alle Dämomen unter UNIX
anwendbar und erhöht die Sicherheit eines Server enorm, ohne sich negativ auf die
Performance auszuwirken. Sie sollten, nachdem Sie diese Übung hier absolviert haben,
alle Serverdämomen unter UNIX so absichern.
Every effort has been made on the part of the NCSA HTTPd Development Team to
ensure a high level of security from break-ins through HTTPd. Occasionally,
however, we miss one. For this reason, the server processes which handle
outside connections are setuid to another user, such as nobody, who should
have no permissions on the machine. This can be set using the User
directive.
For some, this might not be enough. There is something more that you can do,
however. Most systems have available a command line chroot command. This
command allows the system administrator (its usually restricted to the root
user) to force a program to run under a subset of the file system, without
allowing access from it to any other parts of the file system. This is
usually how anonymous ftp is handled, and more information about running
programs chroot can be gleaned from manpages and such which correspond to
setting up anonymous ftp.
The general form of the command is:
chroot directory command
Erstellt von Doc Gonzo - http://kickme.to/plugins