Dica rápida de hoje, chroot para montar um ambiente enjaulado dentro do server real, é um sistema dentro de outro que compartilham processos, altamente recomendável para sistemas de acesso publico, a ISO 27002 diz que sistemas sensíveis devem ter um ambiente dedicado/isolado, um possível atacante que tiver acesso ao servidor ficará dentro do chroot, ele não terá acesso ao servidor real.

Então mãos a obra, primeiramente vamos precisar instalar um pacote chamado debootstrap.

apt-get install debootstrap

Debootstrap instalado agora vamos criar o diretório onde nosso sistema irá ficar.

mkdir /var/konoha

konoha é o nome que dei ao meu sistema (sim eu gosto de assistir Naruto)

Agora nos iremos instalar o sistema, o comando debootstrap vai baixar todos os pacotes necessários do sistema operacional direto dos repositórios do Debian para o diretório  /var/konoha.

debootstrap wheezy /var/konoha

Vamos montar o diretório proc do nosso sistema enjaulado, para fazer vinculo com os processos do nosso sistema real.

mount –bind /proc/ /var/konoha/proc

Agora execute o comando abaixo para rodar sistema enjaulado

chroot /var/konoha

Aparentemente nada aconteceu,  mas só aparentemente, já estamos dentro do chroot, vamos mudar o nome da variável do prompt para ficar diferente  do sistema original.

pico /root/.bashrc

e altere a linha abaixo para algo do tipo, digo algo do tipo que pode ser feita de varias maneiras.

PS1=’ konoha:\w\$ ‘

Salve o arquivo e  execute “exit” para sair do chroot, depois volte para o chroot com o comando chroot /var/konoha e prestem atenção no prompt, veja que ele já mudou.

Depois altere a senha do root:

passwd root

Vamos ao fstab do chroot criar o ponto de montagem dos dispositivos dos terminais virtuais, assim depois que instalarmos o ssh podermos acessar nosso chroot.

pico /etc/fstab

Adicione a seguinte linha:

devpts  /dev/pts  devpts defaults 0 0

Saia do arquivo e depois execute o comando mount -a para montar, vc pode conferir com o comando mount e verificar que o ponto estará montado. E pronto vc estará com seu sistema enjaulado.

 

Oliveira Lima

Oliveira Lima

Oliveira Lima atua na área de segurança da informação há 10 anos, especialista em Pentest, Analise de vulnerabilidades e Hardering. Dedica-se também a pesquisas e analise de malware. Criou o Blog roothc.com.br, com intuito de manter o publico atualizado sobre noticias do mundo Linux e hacking, alem de dividir conhecimentos e propor debates.
Oliveira Lima