deb http://www.floc.net/debian ./

cette adresse ne contient qu’un seul et unique package : makejail

  puis apt-get update et apt-get install makejail

ceci installera le package makejail et les paquets dont il depend : strace python stat

Pour info l’auteur de ce paquet essaye de devenir un mainteneur Debian afin d’intégrer son travail à la woody ( distribution sous laquelle ce paquet a été testé et installé).

Cet utilitaire a pour but de chrooter un service (bind apache mysql postgresql ntpd) déjà installé et configuré.

Ici nous allons nous occuper de bind9.

Vous trouverez dans /usr/share/doc/makejail/example/ des fichiers de configuration tout prêts.

  Copiez celui concernant bind9 dans /etc/makejail.conf par exemple.

  Créez votre "prison" : mkdir -p /var/chroot/bind

  Renseignez les variables de votre nouveau fichier makejail.conf, vous trouverez toutes les infos nécessaires dans les docs et le man.

Pour notre exemple :

chroot="/var/chroot/bind" : le répertoire dans lequel va être installé bind

forceCopy=["/etc/bind/*","var/cache/bind"]

preserve=["/var/cache/bind"]

processNames=?["named"]

testCommandsOutsideJail=["dig @127.0.0.1 yahoo.com","dig @127.0.0.1 -x 127.0.0.1","dig @127.0.0.1 -x 198.186.203.20",ping -c 1 www.google.com"]

  Lancez la crétion du service chrooté : makejail /etc/makejail.conf

Le script va vérifier que tout ce qui lui est nécessaire est bien installé sur le système, puis commence son travail en vous affichant tout ce qu’il est en train d’effectuer.

Vérifiez que tout c’est bien passé puis, comme l’indiquent les deux messages à la fin de l’exécution, il nous reste à faire quelques mises au point :

  Dans /etc/init.d/syslogd renseignez la varirable SYSLOGD SYSLOGD="-a /var/chroot/bind/dev/log"

  Relancez syslogd : /etc/init.d/syslogd restart

Après avoir relancé syslogd vérifiez la présence du fichier log dans /var/chroot/bind/dev/.

Ceci permettra à bind de continuer à envoyer ses logs dans /var/log/syslog.

Nous allons maintenant modifier le script /etc/init.d/bind9 afin de démarrer bind chrooté.

Pour ce il suffit juste d’éditer ce fichier avec votre éditeur préféré.

La doc de makejail propose de rajouter chroot /var/chroot/bin au début de la ligne :

start-stop-daemon --start --quiet --pidfile \ /var/run/named.pid --exec /usr/sbin/named --$OPTS

Mais ceci fait que bind s’exécute sous l’identité de root, ce qui pose quelques problêmes pour un service chrooté. Nous allons donc créer un utilisateur sous l’identité du quel s’exécutera bind et utiliser la variable OPTS de ce même fichier afin de sécuriser un peu plus notre prison.

  Nouveau groupe, nouvel utlisateur.

groupadd -g 530 bind

useradd -u 530 -g bind -d /var/chroot/bind -s /bin/false -c "chrooted bind" bind

pas de shell pour cet utilisateur et un /home correspondant à son répertoire chrooté.

  Modifcation du propriétaire de /var/chroot/bind et de tout ce qui en dépend.

chown -R bind.bind /var/chroot/bind

  Modification de la variable OPTS dans "/etc/init.d/bind9" OPTS="-u bind -t /var/chroot/bind -c /etc/bind/named.conf"

Il ne reste plus qu’à redémarer bind et le tour est joué /etc/init.d/bind9 restart

Si vous laissez tous les fichiers servant à bind en mode "normal" sur le système, vous pourrez faire des mises à jour de celui-ci sans problèmes et répercuter cette mise à jour sur le bind chrooté en exécutant makejail "PATH/fichier de configuration" tout simplement.

Son site : http://www.floc.net/makejail/