所谓“监牢”就是指通过chroot机制来更改某个进程所能看到的根文件夹,即将某进程限制在指定文件夹中,保证该进程仅仅能对该文件夹及其子文件夹的文件有所动作,从而保证整个server的安全。

创建chroot“监牢”

曾经,Unix/Linux上的daemon都是以root权限启动的。当时,这似乎是一件理所当然的事情,由于像Apache这种server软件须要绑定到“众所周知”的port上(小于1024)来监听HTTP请求,而root是惟一有这种权限的用户。

可是,随着攻击者活动的日益频繁,尤其是缓冲区溢出漏洞数量的激增,使server安全受到了更大的威胁。一旦某个网络服务存在漏洞,攻击者就行訪问并控制整个系统。因此,为了减缓这样的攻击所带来的负面影响,如今server软件通常设计为以root权限启动,然后server进程自行放弃root,再以某个低权限的系统账号来执行进程。这样的方式的优点在于一旦该服务被攻击者利用漏洞入侵,因为进程权限非常低,攻击者得到的訪问权限又是基于这个较低权限的,对系统造成的危害比曾经减轻了很多。

有些攻击者会试图找到系统其他的漏洞来提升权限,直至达到root。因为本地安全性远低于远程安全保护,因此攻击者非常有可能在系统中找到能够提升权限的东西。即使没有找到本地漏洞,攻击者也可能会造成其他损害,如删除文件、涂改主页等。

为了进一步提高系统安全性,Linux内核引入了chroot机制。chroot是内核中的一个系统调用,软件能够通过调用库函数chroot,来更改某个进程所能见到的根文件夹。比方,Apache软件安装在/usr/local/httpd/文件夹下,以root用户(或具有同样权限的其他账号)启动Apache,这个root权限的父进程会派生数个以nobody权限执行的子进程,详细情况取决于个人设置。父进程监听请求自80port的tcp数据流,然后依据内部算法将这个请求分配给某个子进程来处理。这时Apache子进程所处的文件夹继承自父进程,即/usr/local/httpd/。

可是,一旦文件夹权限设定失误,被攻击的Apache子进程可以訪问/usr/local、/usr、/tmp,甚至整个文件系统,由于Apache进程所处的根文件夹仍是整个文件系统的根。假设可以利用chroot将Apache限制在/usr/local/httpd/,那么,Apache所能存取的文件都是/usr/local/httpd/下的文件或其子文件夹下的文件。创建chroot“监牢”的作用就是将进程权限限制在文件系统文件夹树中的某一子树中。

为什么须要jail

将软件chroot化的一个问题是该软件执行时须要的全部程序、配置文件和库文件都必须事先安装到chroot文件夹中,通常称这个文件夹为chroot jail(chroot“监牢”)。假设要在“监牢”中执行/sbin/httpd,而其实根本看不到文件系统中那个真正的/sbin文件夹。因此须要事先创建/sbin文件夹,并将httpd拷贝到当中。同一时候httpd须要几个库文件,执行例如以下命令能够看到这些库文件(在真实的文件系统下执行)。

#ldd /sbin/httpd
libaprutil-0.so.0 => /usr/local/httpd/lib/libaprutil-0.so.0 (0x40017000)
libgdbm.so.2 => /usr/lib/libgdbm.so.2 (0x4003c000)
libdb-4.0.so => /lib/libdb-4.0.so (0x40043000)
libpthread.so.0 => /lib/tls/libpthread.so.0 (0x400eb000)
libexpat.so.0 => /usr/lib/libexpat.so.0 (0x400f8000)
libapr-0.so.0 => /usr/local/httpd/lib/libapr-0.so.0 (0x40118000)
librt.so.1 => /lib/librt.so.1 (0x40139000)
lIBM.so.6 => /lib/tls/lIBM.so.6 (0x4014b000)
libcrypt.so.1 => /lib/libcrypt.so.1 (0x4016d000)
libnsl.so.1 => /lib/libnsl.so.1 (0x4019a000)
libdl.so.2 => /lib/libdl.so.2 (0x401af000)
libc.so.6 => /lib/tls/libc.so.6 (0x42000000)
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)

这意味着还须要在“监牢”中创建lib文件夹,并将库文件拷贝到当中。这一工作能够交由计算机完毕,用jail等软件包来帮助简化chroot“监牢”建立的过程。

编译和安装jail

从http://www.jmcresearch.com/static/dwn/projects/jail/jail.tar.gz能够下载到jail的最新版本号,它是由位于http://www.jmcresearch.com/projects/jail/的jail chroot项目小组开发的。该软件包包括了帮助自己主动创建chroot“监牢”的C程序、Perl程序和Bash脚本。

首先将jail.tar.gz置于随意文件夹,然后运行命令:
    #tar xzvf jail.tar.gz && cd jail/src

依照个人实际情况改动makefile文件,尤其是安装路径(默认安装路径是/usr/local)、体系结构(jail支持Linux、FreeBSD、IRIX和Solaris),以及编译选项等。最后运行命令:
    #make && make install

为jail创建chroot“监牢”

如今创建一个文件夹作为chroot“监牢”,以/var/chroot/为例。运行以下的命令为chroot“监牢”创建环境:
    #/usr/local/bin/mkjailenv /var/chroot

这样“监牢”就建好了。jail软件包提供了几个Perl脚本作为其核心命令,包含mkjailenv、addjailuser和addjailsw。如addjailsw会从真实文件系统中拷贝二进制可运行文件及其相关的其他文件(包含库文件、辅助性文件和设备文件)到该“监牢”中。

为jail“监牢”加入�软件

接下来须要为这个“监牢”添加�一些软件,以便让它执行起来。执行下面命令安装一些主要的软件,包含ls、cat、cp等程序和ld-linux.so.2等库文件。
    #/usr/local/bin/addjailsw /var/chroot

其实仅有这些基本软件是不够的,还须要把一些真正实用的东西限制起来。以下的样例展示了为“监牢”加入�arp程序的过程:

#/usr/local/bin/addjailsw /var/chroot -P arp

addjailsw
A component of Jail (version 1.9 for linux)
http://www.jmcresearch.com/projects/jail/
Juan M. Casillas <juanm.casillas@jmcresearch.com> Guessing arp args(0)
Warning: file .//lib/tls/libc.so.6 exists. Overwritting it
Warning: file .//lib/ld-linux.so.2 exists. Overwritting it
Warning: file .//etc/ld.so.cache exists. Overwritting it
Warning: file .//usr/lib/locale/locale-archive exists. Overwritting it
Warning: file .//usr/share/locale/locale.alias exists. Overwritting it
Warning: can't create /proc/net/arp from the /proc filesystem Done.

再以Apacheserver软件为例:

#addjailsw /var/chroot/ -P /usr/local/httpd/bin/httpd

addjailsw
A component of Jail (version 1.9 for linux)
http://www.jmcresearch.com/projects/jail/
Juan M. Casillas <juanm.casillas@jmcresearch.com> Guessing /usr/local/httpd/bin/httpd args(0)
Warning: file /var/chroot//lib/libssl.so.4 exists. Overwritting it
Warning: file /var/chroot//lib/libcrypto.so.4 exists. Overwritting it
Warning: file /var/chroot//lib/libresolv.so.2 exists. Overwritting it
…… Done.

不用在意那些警告信息,由于jail会调用ldd检查httpd用到的库文件。而差点儿全部基于共享库的二进制可运行文件都须要上述的几个库文件。

接下来将Apache的相关文件复制到“监牢”中:
    #cp -a /usr/local/httpd/ /var/chroot/usr/local/

可依据个人情况依次将Apache须要的文件拷贝到“监牢”中。

“监禁”囚犯

有时候须要为chroot“监牢”创建新的用户,比方Apache要求创建nobody用户作为子进程用户。鉴于可能有其他进程使用nobody,还能够使用还有一用户——httpd。首先须要在真实系统中创建httpd用户:
    #useradd -d /var/chroot -s /usr/local/bin/jail httpd

然后运行下面命令在chroot“监牢”中创建httpd用户:
    #/usr/local/bin/addjailuser /var/chroot /usr/local/httpd /usr/sbin/httpd httpd

接下来改动/var/chroot/usr/local/httpd/conf/httpd.conf,将User nobody替换为User httpd。因为chroot后Apache将以httpd身份启动进程,仅仅有root有权将Apache绑定在低port上(通常为80),因此还须要改动port值,该值必须大于1024(如果为8080)。这个改动要应用到Apache的全部配置文件里,包含虚拟主机的配置。至于Apache的其他设置,与在真实文件系统时一样配置就可以。

接下来须要复制一些其他的文件。启动Apache最常见的方式就是调用apachectl,这是个Bash脚本。查看这个文件,会发现例如以下行:

HTTPD='/usr/local/httpd/bin/httpd'
LYNX="lynx -dump"
ULIMIT_MAX_FILES="ulimit -S -n `ulimit -H -n`"
ARGV="-h"
$HTTPD -k $ARGV
$HTTPD -k start -DSSL
$HTTPD -t
$LYNX $STATUSURL | awk ' /process$/ { print; exit } { print } '

当中ulimit、lynx和awk是辅助性的程序。另外须要注意的是,程序使用不同的參数时,可能会使用不同的库文件,因此为了让Apache完整执行,使用以下的命令来跟踪全部可能的文件:
    #/usr/local/bin/addjailsw /var/chroot -P httpd "-k start -DSSL"

用上述的參数替换引號中的參数,完毕所有的工作。

最后,让成功jail的Apache执行起来:
    #su - httpd &

打开浏览器进行測试,訪问Webserver时记住加上8080port号。

jail高级应用

在前面的介绍中,使用了jail软件包中的三个Perl脚本。这里具体介绍这三个脚本的使用,以便高级用户使用。

mkjailenv
    使用方法:mkjailenv chrootdir
    作用:创建chroot“监牢”文件夹,而且从真实文件系统中拷贝主要的软件环境。
    參数:
    chrootdir指定chroot“监牢”的路径。

addjailsw
    使用方法:addjailsw chrootdir [-D] [-P program args]
    作用:从真实文件系统中拷贝指定的文件及其相关文件。
        參数:
    chrootdir指定chroot“监牢”的路径。
    -D显示具体信息。
    -P program args指定要加入�到“监牢”中的软件。program能够是个文件名称,也能够是文件的完整路径;args是參数。比方能够这样运行addjailsw:
    #addjailsw /var/chroot -P vi "-c q"

addjailuser
    使用方法:addjailuser chrootdir userdir usershell username
    作用:创建新的chroot“监牢”用户。
        參数:
    chrootdir指定chroot“监牢”的路径。
    userdir指定新加入�用户的主文件夹(相对于chroot“监牢”文件夹)。
    usershell指定新用户使用的Shell的完整路径(比方/bin/bash)。
    username为新加入�的用户名。

比方:
    #addjailuser /var/chroot /home/ftp /bin/csh ftp

这个脚本会自己主动改动“监牢”中的/etc/passwd、/etc/group和/etc/shadow文件。

从上文看,假设仅使Apache一个软件执行在“监牢”中,mkjailenv似乎过于“热心”了,因此能够不执行mkjailenv /var/chroot命令,而仅仅执行addjailsw /var/chroot -P httpd或在调试完chroot“监牢”后删除多余的文件,并改动/etc/passwd中多余的用户信息。由此想到,如今大多数流行的Web网站都採用Apache+PHP+MySQL+SSL的搭配(可能还会有FTP、Mail、Perl等组件),因此全然能够建立一个综合的Web“监牢”。系统管理员能够为这个“监牢”设置软件环境,当然这个环境仅仅包含维护Apache+PHP+MySQL+SSL这些组件的必备工具,如使用Bash、SSH、编译软件或上传等。这可能是一个浩大的project,可是却很有意义。參考上面的方法,大家能够尝试jail出完美的server来。(

chroot 与 jail的更多相关文章

  1. How to Setup Chroot SFTP in Linux (Allow Only SFTP, not SSH)

    1. Create a New Group Create a group called sftpusers. Only users who belong to this group will be a ...

  2. [PHP] 2018年终总结

    去掉敏感信息后的不完整版 ==========================================================================2018年12月29日 记 ...

  3. ansible Developing Plugins

    Action plugins是模块的前端,可以在调用模块本身之前对控制器执行操作. Cache plugins用于保存“facts”的缓存,以避免代价高昂的fact-gathering操作. Call ...

  4. libvirt2.0安装

    目录 1.libvirt介绍 2.卸载系统自带的libvirt 2.1.查看当前安装的libvirt相关包 2.2.全部卸载掉 3.使用tar包编译安装 3.1.解压缩 3.2.生成Makefile文 ...

  5. chroot jail

    注意,原标题是:Linux Virtualization using Chroot Jail,我实在不知道怎么翻译,所以,自作主张,选了chroot jail作为标题.原文地址 chroot jail ...

  6. Linux 容器技术史话:从 chroot 到未来

    Linux 容器是一个在单一 Linux 主机上提供多个隔离的 Linux 环境的操作系统级虚拟技术.不像虚拟机(VM),容器并不需要运行专用的访客(guest)操作系统.容器们共享宿主机的(host ...

  7. chroot详解

    我是一个刚接触 Linux 和 Unix 的新手.我该如何改变一个命令的根目录?我要怎样改变一个进程的根目录呢,比如用 chroot 命令将web服务与文件系统隔离?我要如何使用 chroot 恢复密 ...

  8. ubuntu 14.04 下FTP服务器的搭建--锁定用户目录,解决vsftpd: refusing to run with writable root inside chroot()

    FTP服务器的搭建,我要实现的需求是: 不允许匿名访问,因为我的机器不想让谁都能登录上来,随便获取文件, 需要锁定一个目录,因为在家里,我需要给媳妇下载一些电影 韩剧之类的东西,媳妇会来我机器下载,但 ...

  9. chroot 命令实例讲解

    我是一个刚接触 Linux 和 Unix 的新手.我该如何改变一个命令的根目录?我要怎样改变一个进程的根目录呢,比如用 chroot 命令将web服务与文件系统隔离?我要如何使用 chroot 恢复密 ...

随机推荐

  1. hdfs经常使用命令

    hadoop hdfs经常使用命令 hadoop fs -ls /user/deploy/recsys/workspace/ouyangyewei 查看ouyangyewei文件夹文件 hadoop ...

  2. 学习selenium所须要具备的技术

    学习selenium所须要具备的知识或技术 1.selenium进行的自己主动化測试是基于ui层面的,所以html,css,javascript基本上是不可缺少的,至于javascript,有非常多的 ...

  3. Android怎么让一个service开机自动启动

    1.首先开机启动后系统会发出一个Standard Broadcast Action,名字叫android.intent.action.BOOT_COMPLETED,这个Action只会发出一次. 2. ...

  4. ios文件读取(二)

    - (void)viewDidLoad { [super viewDidLoad]; /** *  @brief 获取文件路径 * */ NSString * filePath = [self get ...

  5. Struts2+Spring3+Hibernate3+Maven构建(基于Eclipse)

    长时间不做后台了,整理一下资料,以便翻阅. Eclipse.JDK安装略…… Maven下载地址:http://maven.apache.org/download.cgi 版本比较新的Eclipse基 ...

  6. uva 10061 How many zero's and how many digits ?

    How many zeros and how many digits? Input: standard input Output: standard output Given a decimal in ...

  7. OFBiz中根据店铺获取产品可用库存的方法

    1.[ProductStoreFacility]获得店铺绑定的仓库列表 2.遍历仓库,调用[getInventoryAvailableByFacility],传入[facilityId : facil ...

  8. LESSCSS

    LESSCSS应需求而生 CSS 的语法相对简单,对使用者的要求较低,但同时也带来一些问题:CSS 需要书写大量看似没有逻辑的代码,不方便维护及扩展,不利于复用,尤其对于非前端开发工程师来讲,往往会因 ...

  9. Android广播机制(转)

    1.Android广播机制概述 Android广播分为两个方面:广播发送者和广播接收者,通常情况下,BroadcastReceiver指的就是广播接收者(广播接收器).广播作为Android组件间的通 ...

  10. css 三角实例

    <!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8" ...