Vraiment pas bête et assez puissant, je test ça :)
Le 29/09/2021 à 15:22, Samuel Thibault a écrit :
Peut-être utiliser un volume monté séparément, avec l'option de montage noexec ?
Je veux pas faire le relou mais ça va être valable pour toute la partition, donc y compris les /bin de chaque user.
Le 29 sept. 2021 à 15:29, Élodie BOSSIER via FRsAG frsag@frsag.org a écrit :
Vraiment pas bête et assez puissant, je test ça :)
Le 29/09/2021 à 15:22, Samuel Thibault a écrit :
Peut-être utiliser un volume monté séparément, avec l'option de montage noexec ?
Liste de diffusion du FRsAG http://www.frsag.org/
Un grand merci à tous le monde.
Le /www/ vient du filer en NFS alors que les /bin etc... sont locaux (cp ou mount -bind) sur les clients NFS où se trouve le chroot, alors le noexec dans le mount est parfait :)
Le 29/09/2021 à 15:37, David Ponzone a écrit :
Je veux pas faire le relou mais ça va être valable pour toute la partition, donc y compris les /bin de chaque user.
Ah ben merveilleux effectivement :) Ceci annule donc mon mail précédent.
Le 29 sept. 2021 à 15:42, Élodie BOSSIER mailing-list@franceserv.fr a écrit :
Un grand merci à tous le monde.
Le /www/ vient du filer en NFS alors que les /bin etc... sont locaux (cp ou mount -bind) sur les clients NFS où se trouve le chroot, alors le noexec dans le mount est parfait :)
Le 29/09/2021 à 15:37, David Ponzone a écrit :
Je veux pas faire le relou mais ça va être valable pour toute la partition, donc y compris les /bin de chaque user.
Sans le +x sur le répertoire, les ‘cd’ vont beaucoup moins bien marcher... Sinon SElinux pourrait pas le faire ? j’avais trouvé une KB redhat a ce sujet
On 29 September 2021 at 15:39:54, David Ponzone (david.ponzone@gmail.com) wrote:
Je veux pas faire le relou mais ça va être valable pour toute la partition, donc y compris les /bin de chaque user.
Le 29 sept. 2021 à 15:29, Élodie BOSSIER via FRsAG frsag@frsag.org a
écrit :
Vraiment pas bête et assez puissant, je test ça :)
Le 29/09/2021 à 15:22, Samuel Thibault a écrit :
Peut-être utiliser un volume monté séparément, avec l'option de montage noexec ?
Liste de diffusion du FRsAG http://www.frsag.org/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Je viens de tester et le noexec dans le mount fait apparemment la distinction entre le +x et le +X des répertoires.
Le 29/09/2021 à 15:45, professor geek a écrit :
Sans le +x sur le répertoire, les ‘cd’ vont beaucoup moins bien marcher... Sinon SElinux pourrait pas le faire ? j’avais trouvé une KB redhat a ce sujet
On mercredi 29 septembre 2021 15:48:15 CEST, Élodie BOSSIER via FRsAG wrote:
Le 29/09/2021 à 15:45, professor geek a écrit :
Sans le +x sur le répertoire, les ‘cd’ vont beaucoup moins bien marcher...
Je viens de tester et le noexec dans le mount fait apparemment la distinction entre le +x et le +X des répertoires.
+X c'est exactement la même chose sur le disque que +x. La seule différence c'est que la commande chmod +X n'applique +x que pour les répertoires.
Et effectivement, noexec n'a aucune influence sur le droit x des répertoires, vu que ce n'est pas le droit d'exécution mais le droit de traverser le répertoire, différent du droit r de voir les fichiers dans le répertoire. Donc cd sur un répertoire en --x ca marche, mais ls non. Inversement, r-- sur un répertoire, ls marche, cd non, et on ne peut accéder a aucun fichier.
Attention un script shell, du python / perl / php ... déposé sur une partition en noexec il suffit de mettre l'interpréteur devant et ça se lance.
bash ./monscript.sh ou équivalent python ./monscript.py ça marche en noexec car l'exécution de l'interpréteur se situe dans /usr/bin ou /bin.
Et y a tellement d'autres manières de contourner, si tu laisses vim, emacs, mc alors les utilisateurs peuvent lancer un shell échappé même dans un chroot. Y a aussi pas mal de commande shell pour s'échapper d'un chroot.
Donc plutôt privilégier selinux.
Le 29/09/2021 à 15:29, Élodie BOSSIER via FRsAG a écrit :
Vraiment pas bête et assez puissant, je test ça :)
Le 29/09/2021 à 15:22, Samuel Thibault a écrit :
Peut-être utiliser un volume monté séparément, avec l'option de montage noexec ?
Liste de diffusion du FRsAG http://www.frsag.org/