Сетевые средства Linux
Шрифт:
И наконец, если вы запустили один сервер в рамках поддерева
chroot
, остальные серверы могут выполняться за пределами поддерева, создавая тем самым опасность для системы. Более того, если области файловой системы, доступные разным серверам, перекрываются, то не исключено, что один сервер можно будет использовать для изменения конфигурации другого, что создаст дополнительные возможности для незаконного проникновения в систему. Формирование среды
chroot
Для того чтобы сервер мог работать в рамках поддерева
chroot
, необходимо в первую очередь сформировать само поддерево. Надо создать требуемые каталоги и скопировать в них системные файлы и файлы сервера. Другими словами, вам следует сформировать в пределах поддерева усеченный вариант системы Linux, в котором отсутствовало бы большинство
На заметку
В данном разделе обсуждаются лишь общие вопросы создания поддерева
chroot
. Более подробно конфигурация серверов для работы в пределах поддерева будет рассмотрена в следующем разделе. Там же будет приведен пример подготовки сервера BIND для выполнения в рамках поддерева chroot
. Создание поддерева
Для создания поддерева
chroot
сначала необходимо сформировать само поддерево. Его можно разместить в любой позиции файловой системы, за исключением псевдосистем, таких как /proc
. Если сервер должен иметь возможность записывать файлы, для подкаталогов необходимо задать соответствующие права доступа. В примере, рассмотренном выше, для создания поддерева chroot
использовался каталог /opt/chroot
, но реально роль корневого каталога поддерева может выполнять практически любой каталог файловой системы. В поддереве
chroot
надо создать некоторые из каталогов и подкаталогов, присутствующие в обычной файловой системе. Вероятнее всего, вам потребуется лишь ограниченное количество подкаталогов Linux. Чаще всего для выполнения сервера в поддереве chroot
приходится создавать каталоги /bin
, /sbin
, /usr
, /lib
, /etc
и /var
. В эти каталоги не следует копировать файлы, присутствующие в соответствующих каталогах файловой системы Linux; нельзя забывать, что поддерево chroot
создается именно для того, чтобы ограничить набор инструментов, доступных серверу. Если в пределах поддерева
chroot
должно выполняться несколько серверов, надо для каждого из них создать отдельное поддерево. Например, если в таком режиме предполагается запустить серверы FTP и sendmail
, вы можете использовать в качестве корневых каталогов поддеревьев каталоги /opt/chroot/ftp
и /opt/chroot/sendmail
. Копирование файлов сервера
Сформировав поддерево
chroot
, надо скопировать в содержащиеся в нем каталоги требуемые файлы. Набор необходимых файлов зависит от особенностей сервера. Если сервер самостоятельно вызывает функцию chroot
, вам нет необходимости размещать в пределах поддерева chroot
исполняемые файлы сервера. Вы можете запустить сервер за пределами поддерева chroot
, указав ему расположение поддерева. После вызова chroot
сфера действий сервера будет ограничена сформированным вами поддеревом. Поскольку сервер, самостоятельно вызывающий chroot
, может читать конфигурационные файлы, размещенные за пределами поддерева, число файлов, которые необходимо поместить в каталоги поддерева chroot
, сводится к минимуму. Вам придется скопировать лишь те файлы, которые требуются серверу для работы после вызова chroot
. Примером сервера, функционирующего подобным образом, является анонимный сервер FTP. (Подробно вопросы работа сервера FTP рассматривалась в главе 21. Если сервер не вызывает самостоятельно функцию
chroot
, его следует запускать посредством утилиты chroot
. При этом в каталоги поддерева chroot
необходимо скопировать исполняемые и конфигурационные файлы сервера, а также все файлы, необходимые серверу в процессе работы. Кроме того, иногда приходится помещать в каталоги поддерева chroot
некоторые системные файлы. Определить набор файлов, необходимых серверу, достаточно сложно. Для того чтобы выяснить, какие файлы требуются в процессе работы, надо прочитать документацию, а если нужные сведения там отсутствуют, вам придется проанализировать содержимое дистрибутивного пакета. Для получения информации о файлах, содержащихся в пакете, можно использовать инструменты tar
, rpm
или dpkg
. Очевидно, что копировать в каталоги поддерева chroot
надо не все файлы; например, для работы сервера не нужна документация. Чтобы выяснить, какие файлы необходимы серверу, можно использовать программу strace
. Вызвав команду strace имя_серверной_программы
, вы получите сведения о файлах, используемых в процессе работы сервера, в том числе имена файлов, которые сервер открывает самостоятельно. На заметку
Вместо копирования файлы можно переместить в каталоги поддерева
chroot
. При этом вы будете иметь гарантию того, что после запуска сервер будет выполняться в пределах поддерева. Копирование системных файлов
После того как вы разместите в пределах поддерева
chroot
файлы сервера, вам следует скопировать в каталоги поддерева некоторые системные файлы. Для работы серверов часто требуются следующие типы файлов. • Библиотеки. Во время работы многие серверы используют динамические библиотеки. Обычно они хранятся в каталоге
/lib
или /usr/lib
. Выяснить, какие библиотеки нужны конкретному серверу, позволяет программа ldd
. Например, чтобы определить, какие библиотеки использует сервер имен, надо выполнить команду ldd /usr/sbin/named
. Файлы библиотек надо поместить в каталог поддерева chroot
. • Программы поддержки. Для работы некоторых серверов нужны дополнительные программы. Например, если Web-сервер поддерживает CGI-сценарии, ему могут понадобиться интерпретатор Perl (
/usr/bin/perl
) и файлы, обеспечивающие работу этого интерпретатора. Исполняемый файл Perl и дополнительные файлы надо скопировать в соответствующий каталог поддерева chroot
. Кроме того, программы, необходимые для работы сервера, могут, в свою очередь, использовать файлы библиотек. В некоторых случаях объем данных, применяемых для поддержки языков сценариев, намного превышает объем Web-сервера. • Файлы устройств. Ряд серверов непосредственно обращается к файлам устройств. Например, сервер резервного копирования взаимодействует с накопителем на магнитных лентах, а некоторым библиотекам и программам нужны специальные файлы устройств, такие как
/dev/zero
или /dev/null
. Обычно файлы устройств располагаются в каталоге /dev
. Копировать файлы из этого каталога бессмысленно, вместо этого надо повторно создать их в поддереве с помощью mknod
. Соответствующая команда может выглядеть следующим образом: mknod /opt/chroot/dev/st0 с 9 0
. Файлы устройств предоставляют доступ к ресурсам компьютера, поэтому создавать их в поддереве chroot
следует только в том случае, когда они действительно необходимы. • Специальные файловые системы. Иногда серверы используют специальные файловые системы или инструменты, предназначенные для работы с такими файловыми системами. Например, некоторые серверы обращаются к
/proc
. Подобные каталоги нельзя непосредственно копировать. Вместо этого надо создать дополнительную запись в файле /etc/fstab
и смонтировать файловую систему в пределах поддерева chroot
. Исходную систему /proc
нельзя удалять, ее надо дублировать. Необходимо помнить, что при наличии доступа сервера к /proc
взломщику автоматически предоставляются дополнительные возможности для контроля над системой. • Базы данных с информацией о пользователях. Во время работы ряд серверов обращается к
/etc/passwd
, /etc/group
, /etc/shadow
и другим файлам, содержащим информацию о пользователях. Серверам, которые используют Pluggable Authentication Module, необходима инфраструктура РАМ, в частности, файл /etc/pam.conf
, содержимое /etc/pam.d
и /etc/security
, а также библиотеки в файлах /lib
и /lib/security
(в именах файлов библиотек содержатся символы pam
). Для того чтобы выяснить, какие файлы необходимо скопировать в каталоги поддерева chroot
, надо проанализировать содержимое пакета РАМ.
Поделиться с друзьями: