chroot Linux中的所有服务

本文涉及的产品
云原生数据库 PolarDB MySQL 版,通用型 2核4GB 50GB
云原生数据库 PolarDB PostgreSQL 版,标准版 2核4GB 50GB
日志服务 SLS,月写入数据量 50GB 1个月
简介: 作者:Mark Nielsen 译者:蓝风 原文出处:LinuxFocus.org 摘要:当某些人入侵你的系统时,chroot将通过限制入侵者所能造成的损失来提高系统的安全性。

作者:Mark Nielsen
译者:蓝风
原文出处:LinuxFocus.org

摘要:当某些人入侵你的系统时,chroot将通过限制入侵者所能造成的损失来提高系统的安全性。

介绍:
什么时chroot呢?它其实是对一个程序从根本上重新定义。更准确的说,它为一个程序重新定义“root”目录或“/”或日志。当你使用chroot后,一个程序在目录以外的东西不再显得那么多。
为什么它有用,如果某些人入侵了你的计算机,它们就不能看到你的系统中的所有的文件,而且,还可以限制它们使用命令来访问文件,也不能利用处于不安全状况下的文件。chroot唯一的缺点是:它不能阻止那些在网络连接和其他部件偷看的入侵者。这样,你必须做一些从本文你无法了解得更多的事情。

1.保护你的网络端口。
2.让你所有的服务在非root帐号的情况下运行,此外,将所有的服务chrooted。
3.复制系统日志文件到另一台机器上。
4.分析日志文件,
5.分析人们试图探测你的计算机上任一端口的行为。
6.限制每个服务的CPU和内存。
7.激活帐号分配。

我之所以认为chroot(在non-root服务中)可以对程序起到防护作用的原因是,如果某些人入侵了你的电脑,在non-root帐号的情况下,就没有文件来供他们使用以进入root,那么他们对闯入的区域所造成的破坏就会有限。同样,如果他们侵入的领域绝大部分在root帐号下所有,可供选择的破坏也会减少。很明显,如果某些人入侵了你的帐号,那么也可以保护你所受的损坏最小化。
请记住:我的方法也不是100%的有效。这是我第一次尝试这样做,而且如果这样做有一部分的有效的话,那么剩余的的也将非常简单了.下面是如何做的步骤.

你准备好了吗?

好的,我们先创建一个目录,”/chroot”,然后,我们将我们所有的services都放在它的下面。接下来做以下安排:

系统日志文件将和每项服务一起chroot。
Apache放在/chroot/httpd。
Ssh放在/chroot/sshd。
PostgreSQL放在/chroot/postmaster。
Sendmail也将被chroot,但是不幸的是,它不能在一个非root权限下运行。
ntpd被chroot到/chroot/ntpd。
named被chroot到/chroot/named。

每一项service都将完全隔绝。

我的perl脚本将生成一个chrooted的环境。

Config_Chroot.pl.txt(下载地址见本文参考)在下载后被重命名为Config_Chroot.pl。perl脚本将安装的每一项service列表,浏览配置文件,对每一项服务进行配置。总之,下面是你需要做的事情。

1.生成chroot目录。mkdir -p /chroot/Config/Backup
2.下载Config_Chroot.pl.txt到/chroot/Config_Chroot.pl
3.在perl脚本种改变$Home变量,如果你的根目录不是/chroot
4.下载我写的配置文件。

现在,最重要的一件事情是:我只在RedHat 7.2和RedHat 6.2中进行过测试。所以,请 根据你的版本修改perl脚本。

我不想在Chroot中放置大量的文件,最后我的Perl脚本将它变得很小。基本上,我注意到当chroot很多service后,其实它们重复chroot了很多相似的文件和结构。一个最简单的分辨那些文件需要复制给一个特殊的service的方法是阅读手工页,而且对适用库文件的程序键入”ldd /usr/bin/file”命令。当然,你也可以chroot你正在安装的service,并且你可以手工操作,看看你犯的错误,后者看看它的日志文件。
总之,,安装一项service操作如下:

cd /chroot
./Config_Chroot.pl config SERVICE
./Config_Chroot.pl install SERVICE
./Config_Chroot.pl start SERVICE

Chroot Ntpd

Ntpd只是一个时间服务项目,它能使你的机器和其他机器与真实时间保持一致。chroot它很简单。

cd /chroot
# 如果你不想使用我的配置文件,下面的命令行不共通
#./Config_Chroot.pl config ntpd
./Config_Chroot.pl install ntpd
./Config_Chroot.pl start ntpd

Chroot DNS 或named

已经做好,可以在下面的网址中有偿得到:
http://www.linuxdoc.org/HOWTO/Chroot-BIND8-HOWTO.html
或是
http://www.linuxdoc.org/HOWTO/Chroot-BIND-HOWTO.html

或者,你也可以使用我的脚本,

cd /chroot
# 如果你不想使用我的配置文件,下面的命令行不共通
#./Config_Chroot.pl config named
./Config_Chroot.pl install named
./Config_Chroot.pl start named

Chroot 系统日志文件还有我的抱怨

我想chroot日志文件,但是有一个问题就是,日志文件缺省使用/dev/log,而且,它不能被chroot service监测到,因此,chroot并不是一件容易的事,下面是可能有效的几个方法:

1.与每项service一起chroot日志文件。我测试过确实可行。但是我并不喜欢这样,因为我有一个连续运转的root service。
2.看我们能不能连接一个断开的日志工具。
3.记录文件到一个文件而不是通过系统日志文件。这可能是最可靠的方案,虽然,万一真的有人闯入系 统,他们就可以对日志文件为所欲为。
4.配置主要的系统日志文件,看看个别的位置能不能获得所有的service。请同时使用-a选项。

我的唯一的解决方法是确信系统日志文件和每一项service一起chroot。我想有一些方法可以在它们自己的chroot环境中在非root权限下对文件进行日志备份,就象是一个网络端口。它是可行的,但我想找到一个更好的解决方案。
如果你不想将每个service的日志文件分离出来,那么请在系统日志开始的时候,在主要的日志文件开始在系统中运行的时候,加入以下命令:

syslogd -a /chroot/SERVICE/dev/log

如果你运行ssh和dns,它可以写成,

syslogd -a /chroot/ssh/dev/log -a /chroot/named/dev/log -a /dev/log

最后在系统日志文件中要注意的是,我希望它可以在一个non-root account下运行。我实验了几个简单的操作,但是都不行,最后我放弃了。如果真的能够在一个non-root account的情况下运行系统日志备份的话,安全问题将会更完善。

Chroot Apache

它非常容易。我只要一设置好它,就可以运行我的perl脚本。现在我的配置文件相当大,因为我将Perl脚本和PostgerSQL数据库都放进了已经chrooted的区域。有一件事情你要注意,如果你连接到了一个数据库,确信你的数据库是在127.0.0.1闭合回路中运行,而且你要确信你的主机在Perl脚本中为了DBI模块必须是127.0.0.1。下面是我在apache中使用持续的连接来连接一个数据库:

$dbh ||= DBI->connect('dbi:Pg:dbname=DATABASE',"","", {PrintError=>0});

if ($dbh ) {$dbh->{PrintError} = 1;}
else
{$dbh ||= DBI->connect('dbi:Pg:dbname=DATABASE;host=127.0.0.1',"","",
{PrintError=>1});}

来源: http://httpd.apache.org/dist/httpd/

在你的主系统中编译和安装apache到/usr/local/apache。然后运行perl脚本。

cd /chroot
#如果你不想使用我的配置文件,下面的命令行不共通
# ./Config_Chroot.pl config httpd
./Config_Chroot.pl install httpd
./Config_Chroot.pl start httpd

我改变我的httpd.conf文件得到这些材料:

ExtendedStatus On

<Location /server-status>
SetHandler server-status
Order deny,allow
Deny from all
Allow from 127.0.0.1
</Location>

<Location /server-info>
SetHandler server-info
Order deny,allow  

Deny from all
Allow from 127.0.0.1
</Location>

然后,指定你的浏览器到http://127.0.0.1/server-status 或 http://127.0.0.1/server-info 。

Chroot Ssh

首先,理想的情况下,我们将ssh连接到端口22到端口2222。然后,当你启动ssh,在一个non-root account下将它连接到端口2222。在起始的ssh连接中,我们使用密码来确保有一个安全的帐号,这个密码只起限制进入系统的人的作用,除此以外起不了其他的作用。当他们登录系统后,是第二个ssh程序,这个程序运行在端口127.0.0.1至127.0.0.2322,这样,才能连接到真正的系统—— 这第二个ssh程序只听命于循环装置。现在,这些都要你动手一试。我就不再做这些事了。我要做的就是chroot ssh。需要你亲手做的包括将ssh放在一个non-root account下,安装第二个ssh程序,而且这个ssh程序只听命于循环设备,这样才能让人们进入真正的系统。
然后,我们打算仅仅chroot ssh,而且,你也可以考虑考虑这样做的后果(如果你这么做的话,你不能看见整个系统)。同样,我可以使用OpenSSH,但是我为了简单使用的是商务SSH(这并不是一个好的借口)。

来源:http://www.ssh.com/products/ssh/download.cfm

安装ssh在/usr/local/ssh_chroot。然后使用Perl脚本。

cd /chroot
# 如果你不想使用我的配置文件,下面的命令行不共通
# ./Config_Chroot.pl config sshd
./Config_Chroot.pl install sshd
./Config_Chroot.pl start sshd

如果你想在一个已经chroot的环境下使用它来代替一个ftp的话,无疑它是一件好事,它将限制人们接近你的领地。Rsync和SCP相互结合运行得很好,让人们上传文件。我并不是真的喜欢将一个ftp放上去,以供人们运行。很多ftp服务都已经被chroot了,但事它们仍然可以透明的传递密码,这是我不喜欢的。

Chroot PostgreSQL

它和perl一样简单,除了它需要更多一些的库文件以外。总的来说,它并不难做。我必须要做的事情是把PostgreSQL在网络上打开,而且只能在循环设备上。因为它事被chroot的,所以其他的chrooted的服务不能到达它,象apache web服务。我将Perl编译成PostgreSQL,所以我需要将大量的Perl材料加入到配置文件中。

来源:
ftp://ftp.us.postgresql.org/source/v7.1.3/postgresql-7.1.3.tar.gz

编译和安装apache在你的主系统中的/usr/local/postgres下。然后运行Perl脚本。

cd /chroot
# 如果你不想使用我的配置文件,下面的命令行不共通
# ./Config_Chroot.pl config postgres
./Config_Chroot.pl install postgres
./Config_Chroot.pl start postgres

Chroot Sendmail

继续进行,执行脚本。

cd /chroot
# 如果你不想使用我的配置文件,下面的命令行不共通
# ./Config_Chroot.pl config sendmail
./Config_Chroot.pl install sendmail
./Config_Chroot.pl start sendmail

你懂了吗?是的,它一直作为根在运行。补丁,同样,某些文件在它开始运行的时候被/etc/rc.d/init.d/sendmail 文件改建。我的脚本不处理这个问题。任何你在/etc/mail下对sendmail做的改动,都请你将改动拷贝到/chroot/sendmail/etc。同样,你必须指定/var/spool/mail 到/chroot/sendmail/var/spool/mail 这样sendmail程序和使用者(当他们进入后)才能看到相同的文件。
好处是,你可以发送邮件,但是收到邮件是一个问题。我可以和apache安装sendmail没有任何问题。我将一些perl脚本发送出去,所以,我需要拷贝sendmail 文件到apache的chroot领域中。

其他chroot的事物

下面是我的理念。
1.任何事物都可以被chrooted,包括sendmail,ssh,apache,postgresql,syslog,以及在计算机中运行的所有服务。
2.所有的事物都可以放在一个非root帐号下(你需要的做的是将被保护的端口连接到无保护端口)。这包括sendmail和syslog。
3.日志备份可以是offsite。
4.每一个服务都可以设置一个区间分配,这样当黑客用完磁盘空间改写文件的时候会有一个磁盘空间限制。
5.Root可以拥有所有没有改动的文件。

现在,关于endmail和syslog,我仍然认为他们应当可以在非root帐号下运行。对于sendmail。这是完全可能的,但是我发,现还是相当困难。在非root帐号下我还没有成功的运行过sendmail,我想一定有一个严重的错误.我直到这样做会有问题,但是我想它们一定都可以解决.文件已经得到许可,我不明白 为什么sendmail需要在root下才能运行.可能是我忽略了一些问题,我怀疑是有一些不能逾越的障碍.
至于syslog,我没有试过,但是我相信在非root帐号下,它一定可以运行,我不相信它不能运行.至少我可以将每项服务的syslog都进行chrooted.
所有的服务都可以在非root帐号下设置.即使是NFS,还有所有的服务.

建议:

1.对ssh进行两次登记,而且运行两个sshd.
2.找出如何在非root下运行sendmail和其他邮件程序的办法。
3.除掉/lib里的不必要的库文件.我为了省力拷贝了里面的所有东西.其实,里面的很多东西都是不需要的.
4.远程登录sysloge,还有弄清楚我们能不能把syslogd连接到一个网络端口,以及所有的services是不是都可以连接到在循环装置上的网络的端口.看看是否能在非root帐号下运行syslogd.

结论:

我认为chroot对所有的service都是有效的.我相信如果不将所有的服务都chroot到非root帐号下都将是一个大错误.我希望无论是一个专业版本还事一个小一些的版本:任何版本.Mandrake一开始从RedHat中获得源材料,然后将它扩充,所以,人们完全可能使用Mandrake并扩大chroot再断开它们.没有什么能阻止人们在GNU/Linux重复别人的工作,所以我认为,这样做完全可行.如果有公司愿意将任何事情都进行chroot,并创造一个宽松的系统化的环境以方便人们管理它们的chrooted的服务,我相信它们一定会有异想不到的销售成绩!记住,即使Linux已经成为了主流,但是人们还是不愿意看见命令行,所以,如果所有的事都可以在图形交互界面下完成,他们就没有必要看见所有东西”内脏”,也没有必要知道事情是怎样一步一步的进行的——他们所要做的仅仅上配置和知道它正在工作!
我100%的支持一个观点:所有的服务都可以chroot在非root帐号下,而且还没有任何版本可以提供给我一个可以真正使用的环境。我打算chroot所有的事情——事实上,我确实这样做了。
我计划写一篇关于如何chroot的文章,我请问你们有谁可以帮我,将这篇文章转换为LyX格式,这样它就可以放在Linux的HOWTOs里边了。

参考:

如果这篇文章有所改动,你可以在这里找到它: http://www.gnujobs.com/Articles/23/chroot.html
本文有关配置文件下载地址: http://www.linuxfocus.org/common/src/article225/

相关实践学习
使用PolarDB和ECS搭建门户网站
本场景主要介绍基于PolarDB和ECS实现搭建门户网站。
阿里云数据库产品家族及特性
阿里云智能数据库产品团队一直致力于不断健全产品体系,提升产品性能,打磨产品功能,从而帮助客户实现更加极致的弹性能力、具备更强的扩展能力、并利用云设施进一步降低企业成本。以云原生+分布式为核心技术抓手,打造以自研的在线事务型(OLTP)数据库Polar DB和在线分析型(OLAP)数据库Analytic DB为代表的新一代企业级云原生数据库产品体系, 结合NoSQL数据库、数据库生态工具、云原生智能化数据库管控平台,为阿里巴巴经济体以及各个行业的企业客户和开发者提供从公共云到混合云再到私有云的完整解决方案,提供基于云基础设施进行数据从处理、到存储、再到计算与分析的一体化解决方案。本节课带你了解阿里云数据库产品家族及特性。
目录
相关文章
|
1月前
|
Linux 应用服务中间件 Shell
linux系统服务二!
本文详细介绍了Linux系统的启动流程,包括CentOS 7的具体启动步骤,从BIOS自检到加载内核、启动systemd程序等。同时,文章还对比了CentOS 6和CentOS 7的启动流程,分析了启动过程中的耗时情况。接着,文章讲解了Linux的运行级别及其管理命令,systemd的基本概念、优势及常用命令,并提供了自定义systemd启动文件的示例。最后,文章介绍了单用户模式和救援模式的使用方法,包括如何找回忘记的密码和修复启动故障。
44 5
linux系统服务二!
|
4月前
|
Linux
在Linux中,怎么把脚本添加到系统服务里,即用 service 来调用?
在Linux中,怎么把脚本添加到系统服务里,即用 service 来调用?
|
1月前
|
Linux 应用服务中间件 Shell
linux系统服务!!!
本文详细介绍了Linux系统(以CentOS7为例)的启动流程,包括BIOS自检、读取MBR信息、加载Grub菜单、加载内核及驱动程序、启动systemd程序加载必要文件等五个主要步骤。同时,文章还对比了CentOS6和CentOS7的启动流程图,并分析了启动流程的耗时。此外,文中还讲解了Linux的运行级别、systemd的基本概念及其优势,以及如何使用systemd管理服务。最后,文章提供了单用户模式和救援模式的实战案例,帮助读者理解如何在系统启动出现问题时进行修复。
44 3
linux系统服务!!!
|
1月前
|
Linux 数据库
Linux服务如何实现服务器重启后的服务延迟自启动?
【10月更文挑战第25天】Linux服务如何实现服务器重启后的服务延迟自启动?
206 3
|
1月前
|
关系型数据库 MySQL Linux
Linux系统如何设置自启动服务在MySQL数据库启动后执行?
【10月更文挑战第25天】Linux系统如何设置自启动服务在MySQL数据库启动后执行?
94 3
|
2月前
|
Ubuntu Linux 网络安全
Linux中服务管理问题
【10月更文挑战第4天】
28 2
|
2月前
|
应用服务中间件 Linux Shell
Linux 配置 Nginx 服务的详细步骤,绝对干货
Linux 配置 Nginx 服务的详细步骤,绝对干货
85 0
|
3月前
|
NoSQL Linux Redis
Linux Redis 服务设置开机自启动
【9月更文挑战第2天】在 Linux 系统中,可使用两种方法设置 Redis 开机自启动:一是通过创建 `redis.service` 文件并利用 systemd 进行管理,包括定义服务参数和启动脚本;二是编辑 `/etc/rc.local` 文件,在其中添加启动命令。推荐使用 systemd 方法,因为它更符合现代 Linux 系统的设计理念。设置完成后,可通过 `sudo systemctl status redis.service` 检查服务状态。
478 3
|
3月前
|
编解码 Linux 开发工具
Linux平台x86_64|aarch64架构RTMP推送|轻量级RTSP服务模块集成说明
支持x64_64架构、aarch64架构(需要glibc-2.21及以上版本的Linux系统, 需要libX11.so.6, 需要GLib–2.0, 需安装 libstdc++.so.6.0.21、GLIBCXX_3.4.21、 CXXABI_1.3.9)。
|
4月前
|
Ubuntu Linux 测试技术
在Linux中,已知 apache 服务的访问日志按天记录在服务器本地目录/app/logs 下,由于磁盘空间紧张现在要求只能保留最近7天的访问日志,请问如何解决?
在Linux中,已知 apache 服务的访问日志按天记录在服务器本地目录/app/logs 下,由于磁盘空间紧张现在要求只能保留最近7天的访问日志,请问如何解决?