4.7.3. Работа с программой jail
4.7.3. Работа с программой jail
Для начала создадим каталог /home/chroot, который станет корневым для программы, на которой мы будем испытывать систему. Для этого выполним команду:
mkdir /home/chroot
Теперь нужно подготовить окружение для нормальной работы будущего сервиса. Для этого выполняем команду:
/usr/local/bin/mkjailenv /home/chroot
Посмотрите, что произошло с каталогом /home/chroot. Здесь появились две директории dev и etc. Как мы знаем, в директории dev должны быть описания устройств. В данном случае программа не стала делать полную копию системного каталога /dev, а ограничилась созданием трех основных устройств null, urandom и zero.
В директории etc можно также увидеть три файла: group, passwd и shadow. Это неполные копии системных файлов. Например, если взглянуть на файл passwd, то он будет содержать только следующие строки:
root:x:0:0:Flenov,Admin:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
Больше ничего не будет, и нет пользователя robert, которого мы создавали раньше (см. разд. 4.3). В файле shadow находятся теневые пароли. Проверьте права на этот файл, чтобы они были не более 600 (rw-------).
Тут есть один недостаток в безопасности — в файле /home/chroot/etc/shadow находится реальный зашифрованный пароль из /etc/shadow. Лучше удалите его, иначе злоумышленник, узнав пароль на сервис, сможет проникнуть на сервер через другую дверь, которая не защищена виртуальным каталогом.
Продолжаем настройку виртуальной корневой директории. Теперь нам нужно выполнить следующую команду:
/usr/local/bin/addjailsw /home/chroot
Во время отработки этой команды побежит множество информационных строчек о выполняемых действиях, которые заключаются в том, что в каталог /home/chroot копируются основные директории и программы. Например, в папку /home/chroot/bin будут скопированы такие программы, как cat, cp, ls, rm и т.д., и сервис будет использовать именно их, а не те, что расположены в основном каталоге /bin.
Программа копирует то, что считает нужным, но далеко не все из этого потребуется будущему сервису, который будет работать в виртуальной корневой директории. Лишнее следует удалить, но лучше это делать после того, как убедитесь, что все работает.
Необходимые программы есть и окружение готово. Теперь сюда можно установить сервис:
/usr/local/bin/addjailsw /home/chroot -Р httpd
В данном примере в новое окружение устанавливается программа httpd и все необходимые ей библиотеки. Программа jail сама определит, что нужно.
Теперь в новое окружение можно добавлять пользователя. Это выполняется командой:
/usr/local/bin/addjailuser chroot home sh name
Здесь chroot — это виртуальная корневая директория, в нашем случае должно быть /home/chroot. Параметр home — это домашний каталог пользователя относительно виртуальной директории. Аргументы sh — командный интерпретатор и name — имя пользователя, которого мы хотим добавить (уже должен существовать в основном окружении ОС).
Посмотрим, как можно добавить пользователя robert (он у нас уже есть) в виртуальную систему:
/usr/local/bin/addjailuser /home/chroot
/home/robert /bin/bash Robert
У меня команда не уместилась в одну строку, поэтому я сделал перенос с помощью символа (обозначает, что директива не закончилась и есть продолжение в следующей строке).
Если параметры указаны верно, то вы должны увидеть уведомление "Done", иначе будет выведено сообщение об ошибке.
Для запуска сервера httpd (в Linux это сервер Apache) в виртуальном окружении должен быть пользователь apache. В реальной оболочке он есть. Давайте посмотрим его параметры и создадим такого же:
/usr/local/bin/addjailuser /home/chroot
/var/www /bin/false apache
Как теперь попасть в новое окружение? Выполните команду:
chroot /home/chroot
И вы окажитесь в новом окружении. Только учтите, что большинство команд здесь не работает. Так, например, мы не установили программу МС, поэтому вы не сможете ею воспользоваться.
Чтобы убедиться, что вы находитесь в виртуальном окружении, выполните команду:
ls -al /etc
Вы увидите всего несколько файлов, которые составляют малую часть того, что доступно в реальном каталоге /etc. Можете просмотреть файл /etc/passwd, и в нем будут только пользователи виртуального окружения. Если хакер взломает его, то он получит исключительно эти данные и сможет уничтожить лишь содержимое каталога /home/chroot. Вся остальная файловая система останется целой и невредимой.
Для запуска httpd нужно выполнить в виртуальном окружении команду:
/usr/sbin/httpd
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Работа с программой
Работа с программой Мультимедийный курс запускается автоматически, когда вы помещаете диск в привод. Однако видеолекции всегда можно запустить через главное меню.Для старта программы через главное меню выполните следующие действия.1. Нажмите кнопку Пуск в левом нижнем
Работа с программой-клиентом
Работа с программой-клиентом После того как мы установили и настроили сервер, самое время вернуться к программе-клиенту для того, чтобы подключиться к этому серверу и начать голосовое общение
Работа с программой
Работа с программой В этом разделе будет рассматриваться работа с программой-клиентом, которую мы только что установили у себя на компьютере. Установка программы-сервера и работа, связанная с его настройками, будут рассмотрены чуть
22.1. Работа с программой GetDataBack
22.1. Работа с программой GetDataBack Программа GetDataBack существует в двух вариантах: для файловых систем NTFS и FAT. Соответственно приложение называется GetDataBack for NTFS и GetDataBack for FAT. Принцип работы этих программ абсолютно идентичен. Мы опишем работу с приложением на примере варианта для
7.3. Работа с программой
7.3. Работа с программой 7.3.1. Основное окно Comodo Internet Security Рассмотрим основное окно программы (рис. 7.1), которое открывается при двойном щелчке на значке Comodo Internet Security в области уведомлений Windows (представляет собой красный щит с буквой C).На вкладке Сводка приводится сводка по
4.3.3. Работа с программой
4.3.3. Работа с программой Если вы настроили программу на запуск при старте операционной системы, то обращаться к ней, выполнять поиск удобно через ее пиктограмму, расположенную в панели программ. В противном случае, можно запустить ее через меню, либо разместить ссылку на
Глава 6 Работа с программой Word
Глава 6 Работа с программой Word Обычно работа с редактором Word не вызывает трудностей: текст набирается в нем так же, как и в редакторе Блокнот. Трудности начинаются тогда, когда приходится вносить в созданный документ исправления и добавления. К удивлению пользователя,
Работа с программой
Работа с программой Мультимедийный курс запускается автоматически, когда вы помещаете диск в привод, однако вы всегда можете запустить его через главное меню.Для старта программы через главное меню нужно выполнить такую последовательность действий.1. Нажмите кнопку
Работа с программой
Работа с программой Мультимедийный курс запускается автоматически, когда вы помещаете диск в привод. Однако всегда можно запустить видеолекции через главное меню.Для старта программы через главное меню нужно выполнить следующую последовательность действий.1. Нажмите
Работа с программой
Работа с программой Мультимедийный курс запускается автоматически, когда вы помещаете диск в привод. Однако вы всегда можете запустить видеолекции через главное меню.Для старта программы через главное меню нужно выполнить следующие действия.1. Нажмите кнопку Пуск (в
Работа с программой
Работа с программой Главное окно Lingvo 12 изображено на рисунке выше (см. рис. 18.1). По умолчанию панель инструментов (расположена внизу окна) главного окна Lingvo 12 содержит следующие кнопки.• Перевести (вместо нее можно использовать клавишу Enter). Переводит слово или
Глава 4 Работа с программой GraphExpress
Глава 4 Работа с программой GraphExpress 4.1. Установка программы Вставьте диск в дисковод. Щелкните два раза на иконке «Мой компьютер» на рабочем столе. В открывшемся окне щелкните два раза на иконке дисковода CD. Вы увидите на экране программную оболочку. Зайдите в раздел
Практическая работа 24. Работа с программой Dr.Web
Практическая работа 24. Работа с программой Dr.Web Задание. Изучить приемы работы с программой Dr.Web.Для выполнения этой работы на компьютере должен быть установлен антивирус Dr.Web. При отсутствии какой-либо антивирусной программы на вашем компьютере вы можете установить Dr.Web