Tengo que proporcionar algunos accesos ssh chrooteados, razonablemente completos, a un sistema muy pequeño donde el espacio en disco es escaso.
Estaba considerando hacer algo en la línea:
mkdir -p newroot/usr newroot/home/user newroot/lib newroot/bin newroot/var
mount -o bind,ro /bin newroot/bin
mount -o bind,ro /lib newroot/lib
mount -o bind,ro /usr newroot/usr
en lugar de la copia más tradicional.
¿Es una práctica aceptable o estoy abriendo vías de explotación?
Las principales cosas a tener en cuenta: - Si monta directorios completos, le otorga a los usuarios acceso a chroot a todos esos recursos (especialmente los binarios). Sería más seguro poner solo los binarios requeridos en chroot (es decir, en un caso tuve que proporcionar acceso a ls y scp solamente, pero nada más). Esto potencialmente limitará la superficie de ataque, ya que habría menos ejecutables que explotar. - Por otro lado, el montaje de esos directorios permite mantener actualizados los recursos chrooteados, lo que potencialmente limita las vulnerabilidades explotables. Pero esto se puede lograr actualizando los recursos en jaulas manualmente o mediante un script programado.
En general, mantener el entorno chroot completamente separado se considera más seguro. Pero todo depende en última instancia de su nivel de paranoia, la criticidad de este sistema y otros controles de seguridad que pueda tener implementados.