Frage
Antwort
In einer Multi-Userumgebung, wie sie unter Linux üblich ist, gibt es verschiedene Sicherheitsmechanismen, die verhindern, dass lokale Benutzer oder deren Prozesse auf systemkritische oder sensible Daten Zugriff erlangen können. In der Praxis ergibt sich gerade für Internet Provider oder Firmen das Problem, dass einzelne Benutzer direkten Shellzugang (z.B. per ssh) zu einem System haben müssen und somit die Gefahr besteht, dass sensible Daten gelesen werden können. Übertragen auf Zope besteht die Lösung darin, die Zope Prozesse des Zope Users in einen bestimmten Bereich des Systems einzusperren und somit den möglichen Zugriffsbereich auf ein Minimum zu reduzieren. Eine solche Chroot()-Umgebung sperrt den kompletten Zope Server in einem bestimmten Bereich des Dateisystems ein und ändert das Wurzelverzeichnis für diese Prozesse, so dass ein Verlassen dieses dedizierten Bereichs nicht mehr möglich ist. Auch wenn Zope von Haus aus sicher sein sollte, so liegt der Vorteil einer Chroot()-Umgebung darin, dass ein erfolgreicher Einbruch über Zope nicht das gesamte System betrifft, sondern nur einen kleinen abgesperrten (Chroot)-Bereich.
Weitere externe Infos hierzu:
- www.weidner.ch/download.html (chrlogin.c: chroot login wrapper)
- www.debian.org/doc/manuals/securing-debian-howto/ap-chroot-ssh-env.en.html
Anregungen zu dieser FAQ bitte an mschopen at dzug org
Send this page to somebody
Print this page