Apache kann nun in die Falle gehen. Ein Ausführen des chroot-Befehls zu diesem Zeitpunkt würde allerdings fehlschlagen, weil das Apache-Skript nicht von dem /trap-Verzeichnis aus eingeführt werden kann; dazu ist eine /bin-Datei erforderlich, die das Skript nicht finden kann. Daher muss das Skript den Befehl chroot für die unten stehende httpd-Datei durchführen. Danach ist alles bereit.
Starten von Apache in der Falle
Man sollte stets daran denken, dass Apache von der Falle aus lediglich in der Lage sein sollte, den Server zu starten. Alles andere würde dem Zweck der Einrichtung einer möglichst begrenzten Umgebung widersprechen, in der ein Eindringling keinen Schaden anrichten kann.
Nun kann man die config-Datei ausführen und Apache starten:
Die Falle ist bereit. Wenn man die chroot-Falle als ernsthafte Maßnahme zur Abwehr von Hackern verwenden will, muss man allerdings noch einige weitere Aspekte berücksichtigen. Man muss seine Logs verwalten und Apache beim Booten starten lassen. Außerdem muss man überlegen, ob PHP oder Perl erforderlich sind und deren Funktionieren auch in der /trap-Umgebung sicherstellen. Außerdem können noch wirksamere Sicherheitsmaßnahmen ergriffen werden, wie zum Beispiel die Einrichtung der Falle auf einer separaten Partition.
Neueste Kommentare
3 Kommentare zu Wie man Hacker mit Apache und chroot in die Falle lockt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Ob das der Weisheit letzter Schluß ist
google: break chroot jail
http://www.bpfh.net/simes/computing/chroot-break.html
Cheers
Michael
AW: Von wegen Hackerfalle
Wenn man mit den paar Befehlen wieder alles aushebeln kann – wozu dann die Mühe?
Der Artikel http://www.bpfh.net/simes/computing/chroot-break.html
ist echt gut!
Und wenn doch, vielleicht noch das Hier
Configure Jail
http://www.gsyc.inf.uc3m.es/~assman/jail/configuring/configure.html