[转]通过Chroot机制让服务器安全到底

所谓"监牢"就是指通过chroot机制来更改某个进程所能看到的根目录，即将某进程限制在指定目录中，保证该进程只能对该目录及其子目录的文件有所动作，从而保证整个服务器的安全。

创建chroot"监牢"

以前，Unix/Linux上的daemon都是以root权限启动的。当时，这似乎是一件理所当然的事情，因为像Apache这样的服务器软件需要绑定到"众所周知"的端口上（小于1024）来监听HTTP请求，而root是惟一有这种权限的用户。

但是，随着攻击者活动的日益频繁，尤其是缓冲区溢出漏洞数量的激增，使服务器安全受到了更大的威胁。一旦某个网络服务存在漏洞，攻击者就能够访问并控制整个系统。因此，为了减缓这种攻击所带来的负面影响，现在服务器软件通常设计为以root权限启动，然后服务器进程自行放弃root，再以某个低权限的系统账号来运行进程。这种方式的好处在于一旦该服务被攻击者利用漏洞入侵，由于进程权限很低，攻击者得到的访问权限又是基于这个较低权限的，对系统造成的危害比以前减轻了许多。

有些攻击者会试图找到系统其它的漏洞来提升权限，直至达到root。由于本地安全性远低于远程安全保护，因此攻击者很有可能在系统中找到可以提升权限的东西。即使没有找到本地漏洞，攻击者也可能会造成其它损害，如删除文件、涂改主页等。

为了进一步提高系统安全性，Linux内核引入了chroot机制。chroot是内核中的一个系统调用，软件可以通过调用库函数chroot，来更改某个进程所能见到的根目录。比如，Apache软件安装在/usr/local/httpd/目录下，以root用户（或具有相同权限的其它账号）启动Apache，这个root权限的父进程会派生数个以nobody权限运行的子进程，具体情况取决于个人设置。父进程监听请求自80端口的tcp数据流，然后根据内部算法将这个请求分配给某个子进程来处理。这时Apache子进程所处的目录继承自父进程，即/usr/local/httpd/。

但是，一旦目录权限设定失误，被攻击的Apache子进程可以访问/usr/local、/usr、/tmp，甚至整个文件系统，因为Apache 进程所处的根目录仍是整个文件系统的根。如果能够利用chroot将Apache限制在/usr/local/httpd/，那么，Apache所能存取的文件都是/usr/local/httpd/下的文件或其子目录下的文件。创建chroot"监牢"的作用就是将进程权限限制在文件系统目录树中的某一子树中。

为什么需要jail

将软件chroot化的一个问题是该软件运行时需要的所有程序、配置文件和库文件都必须事先安装到chroot目录中，通常称这个目录为 chroot jail（chroot"监牢"）。如果要在"监牢"中运行/sbin/httpd，而事实上根本看不到文件系统中那个真正的/sbin目录。因此需要事先创建/sbin目录，并将httpd复制到其中。同时httpd需要几个库文件，执行如下命令可以看到这些库文件（在真实的文件系统下运行）。

#ldd /sbin/httpd
libaprutil-0.so.0 => /usr/local/httpd/lib/libaprutil-0.so.0 (0x40017000)
libgdbm.so.2 => /usr/lib/libgdbm.so.2 (0x4003c000)
libdb-4.0.so => /lib/libdb-4.0.so (0x40043000)
libpthread.so.0 => /lib/tls/libpthread.so.0 (0x400eb000)
libexpat.so.0 => /usr/lib/libexpat.so.0 (0x400f8000)
libapr-0.so.0 => /usr/local/httpd/lib/libapr-0.so.0 (0x40118000)
librt.so.1 => /lib/librt.so.1 (0x40139000)
lIBM.so.6 => /lib/tls/lIBM.so.6 (0x4014b000)
libcrypt.so.1 => /lib/libcrypt.so.1 (0x4016d000)
libnsl.so.1 => /lib/libnsl.so.1 (0x4019a000)
libdl.so.2 => /lib/libdl.so.2 (0x401af000)
libc.so.6 => /lib/tls/libc.so.6 (0x42000000)
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)

这意味着还需要在"监牢"中创建lib目录，并将库文件复制到其中。这一工作可以交由计算机完成，用jail等软件包来帮助简化chroot"监牢"建立的过程。

编译和安装jail

从http://www.jmcresearch.com/static/dwn/projects/jail/jail.tar.gz可以下载到jail的最新版本，它是由位于http://www.jmcresearch.com/projects/jail/的jail chroot项目小组开发的。该软件包包含了帮助自动创建chroot"监牢"的C程序、Perl程序和Bash脚本。

首先将jail.tar.gz置于任意目录，然后执行命令：
#tar xzvf jail.tar.gz && cd jail/src

按照个人实际情况修改makefile文件，尤其是安装路径（默认安装路径是/usr/local）、体系结构（jail支持Linux、FreeBSD、IRIX和Solaris），以及编译选项等。最后执行命令：
#make && make install

为jail创建chroot"监牢"

现在创建一个目录作为chroot"监牢"，以/var/chroot/为例。执行下面的命令为chroot"监牢"创建环境：
#/usr/local/bin/mkjailenv /var/chroot

这样"监牢"就建好了。jail软件包提供了几个Perl脚本作为其核心命令，包括mkjailenv、addjailuser和 addjailsw。如addjailsw会从真实文件系统中拷贝二进制可执行文件及其相关的其它文件（包括库文件、辅助性文件和设备文件）到该"监牢" 中。

为jail"监牢"添加软件

接下来需要为这个"监牢"增加一些软件，以便让它运行起来。执行以下命令安装一些基本的软件，包括ls、cat、cp等程序和ld-linux.so.2等库文件。
#/usr/local/bin/addjailsw /var/chroot

事实上仅有这些基本软件是不够的，还需要把一些真正有用的东西限制起来。下面的例子展示了为"监牢"添加arp程序的过程：

#/usr/local/bin/addjailsw /var/chroot -P arp

addjailsw
A component of Jail (version 1.9 for linux)
http://www.jmcresearch.com/projects/jail/
Juan M. Casillas <juanm.casillas@jmcresearch.com>

Guessing arp args(0)
Warning: file .//lib/tls/libc.so.6 exists. Overwritting it
Warning: file .//lib/ld-linux.so.2 exists. Overwritting it
Warning: file .//etc/ld.so.cache exists. Overwritting it
Warning: file .//usr/lib/locale/locale-archive exists. Overwritting it
Warning: file .//usr/share/locale/locale.alias exists. Overwritting it
Warning: can't create /proc/net/arp from the /proc filesystem

Done.

再以Apache服务器软件为例：

#addjailsw /var/chroot/ -P /usr/local/httpd/bin/httpd

addjailsw
A component of Jail (version 1.9 for linux)
http://www.jmcresearch.com/projects/jail/
Juan M. Casillas <juanm.casillas@jmcresearch.com>

Guessing /usr/local/httpd/bin/httpd args(0)
Warning: file /var/chroot//lib/libssl.so.4 exists. Overwritting it
Warning: file /var/chroot//lib/libcrypto.so.4 exists. Overwritting it
Warning: file /var/chroot//lib/libresolv.so.2 exists. Overwritting it
……

Done.

不用在意那些警告信息，因为jail会调用ldd检查httpd用到的库文件。而几乎所有基于共享库的二进制可执行文件都需要上述的几个库文件。

接下来将Apache的相关文件拷贝到"监牢"中：
#cp -a /usr/local/httpd/ /var/chroot/usr/local/

可根据个人情况依次将Apache需要的文件复制到"监牢"中。

"监禁"囚犯

有时候需要为chroot"监牢"创建新的用户，比如Apache要求创建nobody用户作为子进程用户。鉴于可能有其它进程使用nobody，还可以使用另一用户——httpd。首先需要在真实系统中创建httpd用户：
#useradd -d /var/chroot -s /usr/local/bin/jail httpd

然后执行以下命令在chroot"监牢"中创建httpd用户：
#/usr/local/bin/addjailuser /var/chroot /usr/local/httpd /usr/sbin/httpd httpd

接下来修改/var/chroot/usr/local/httpd/conf/httpd.conf，将User nobody替换为User httpd。由于chroot后Apache将以httpd身份启动进程，只有root有权将Apache绑定在低端口上（通常为80），因此还需要修改端口值，该值必须大于1024（假设为8080）。这个修改要应用到Apache的所有配置文件中，包括虚拟主机的配置。至于Apache的其它设置，与在真实文件系统时一样配置即可。

接下来需要复制一些其它的文件。启动Apache最常见的方式就是调用apachectl，这是个Bash脚本。查看这个文件，会发现如下行：

HTTPD='/usr/local/httpd/bin/httpd'
LYNX="lynx -dump"
ULIMIT_MAX_FILES="ulimit -S -n `ulimit -H -n`"
ARGV="-h"
$HTTPD -k $ARGV
$HTTPD -k start -DSSL
$HTTPD -t
$LYNX $STATUSURL | awk ' /process$/ { print; exit } { print } '

其中ulimit、lynx和awk是辅助性的程序。另外需要注意的是，程序使用不同的参数时，可能会使用不同的库文件，因此为了让Apache完整运行，使用下面的命令来跟踪所有可能的文件：
#/usr/local/bin/addjailsw /var/chroot -P httpd "-k start -DSSL"

用上述的参数替换引号中的参数，完成全部的工作。

最后，让成功jail的Apache运行起来：
#su - httpd &

打开浏览器进行测试，访问Web服务器时记住加上8080端口号。

jail高级应用

在前面的介绍中，使用了jail软件包中的三个Perl脚本。这里详细介绍这三个脚本的使用，以便高级用户使用。

mkjailenv
用法：mkjailenv chrootdir
作用：创建chroot"监牢"目录，并且从真实文件系统中拷贝基本的软件环境。
参数：
chrootdir指定chroot"监牢"的路径。

addjailsw
用法：addjailsw chrootdir [-D] [-P program args]
作用：从真实文件系统中拷贝指定的文件及其相关文件。
参数：
chrootdir指定chroot"监牢"的路径。
-D显示详细信息。
-P program args指定要添加到"监牢"中的软件。program可以是个文件名，也可以是文件的完整路径；args是参数。比如可以这样执行addjailsw：
#addjailsw /var/chroot -P vi "-c q"

addjailuser
用法：addjailuser chrootdir userdir usershell username
作用：创建新的chroot"监牢"用户。
参数：
chrootdir指定chroot"监牢"的路径。
userdir指定新添加用户的主目录（相对于chroot"监牢"目录）。
usershell指定新用户使用的Shell的完整路径（比如/bin/bash）。
username为新添加的用户名。

比如：
#addjailuser /var/chroot /home/ftp /bin/csh ftp

这个脚本会自动修改"监牢"中的/etc/passwd、/etc/group和/etc/shadow文件。

从上文看，如果仅使Apache一个软件运行在"监牢"中，mkjailenv似乎过于"热心"了，因此可以不运行mkjailenv /var/chroot命令，而只运行addjailsw /var/chroot －P httpd或在调试完chroot"监牢"后删除多余的文件，并修改/etc/passwd中多余的用户信息。由此想到，现在大多数流行的Web站点都采用Apache＋PHP＋MySQL+SSL的搭配（可能还会有FTP、Mail、Perl等组件），因此完全可以建立一个综合的Web"监牢"。系统管理员可以为这个"监牢"设置软件环境，当然这个环境只包括维护Apache＋PHP＋MySQL＋SSL这些组件的必备工具，如使用Bash、SSH、编译软件或上传等。这可能是一个浩大的工程，但是却非常有意义。参考上面的方法，大家可以尝试jail出完美的服务器来。

[转]通过Chroot机制让服务器安全到底相关推荐

天天都在说，无服务器计算到底是什么？
过去一年,无服务器计算(serverless)已成为构建和运行现代应用程序和服务的普遍架构替代方案.无服务器应用程序允许开发人员专注于代码,而不是基础架构配置和管理.这加快了研发和发布周期,并允许更好 ...
买了一台云服务器，到底能用来干嘛？
云计算.云会议.云办公.云蹦迪.云面试.云XX等等,2020年受疫情的影响,我们被各种云应用包围:云从过去的不为人知变成了众人皆知,上云正在成为企业发展的助推器,云计算正在被越来越多的单位和个人采用. ...
[Machine Check机制]X86服务器Linux系统对于MCE的Log解析
X86服务器Linux系统对于MCE的Log解析 Linux Log信息主要包括两部份内容: APEI的GHES(Generic Hardware Error Soure,通用硬件错误源)解析部分,对 ...
DNS服务器它到底是干啥的呢？
DNS服务器是什么? 在建设网站的过程中,我们经常会接触到一些概念,DNS就是其中之一,那么,我们常听到的dns服务器是什么? dns是计算机域名系统domain name system或domain ...
ftp服务器云盘,企业网盘和FTP服务器对比,到底哪个更好用?
如今很多企业运营者都在对比,哪个更好用?因为现在有些企业使用的是FTP服务器,有些企业使用的是企业一.企业网盘优势多要想找到使用性能比较好的网盘首先,人们就会将企业网盘和FTP服务器对比,在这个过 ...
微信是通过哪个国家的服务器,安道尔到底是什么地方？为什么2000万人的微信地址都选在安道尔？...
原标题:安道尔到底是什么地方?为什么2000万人的微信地址都选在安道尔? 之前微信官方公布过一个数据,那就是一个人口数量不足10万的国家,但是在微信里面却足足有超过2000万用户. 这个国家到底是哪个 ...
服务器操作系统到底用win还是linux好？
服务器操作系统用win还是linux好一:稳定性对比 Linux稳定性更好,Linux更新无需重启,不会停止server,这才是真正的server: Linux服务器相对windows服务器,宕机机 ...
开箱评测：双十一刚买的云服务器，到底好不好用？
目录前言 1. 何为HECS 2. 核心特色 2.1 易搭建 2.2 更实惠 2.3 易维护 2.4 更安全 3. 实践场景 3.1 宝塔面板 3.2 软件开发 3.3 运维部署前言对开发者和企 ...
【ROS】—— ROS通信机制——参数服务器（四）
文章目录前言 1. 参数服务器理论模型 2. 参数操作(C++) 2.1 增加参数 2.2 参数修改 2.3 参数的获取 2.3.1 ros::NodeHandle 2.3.2 ros::param ...

[转]通过Chroot机制让服务器安全到底

[转]通过Chroot机制让服务器安全到底相关推荐

最新文章

热门文章