freebsd下jail命令說明
2020-10-23 22:27:20
供稿:網(wǎng)友
Jail 命令在FreeBSD 4.0中首次出現(xiàn)�����。用于“監(jiān)禁”進(jìn)程以及其衍生的子進(jìn)程�����。而且jail和FreeBSD本身的secure_level合并使用可以顯著限制(jail中的)root的能力�����。
假設(shè)某一個應(yīng)用程序在系統(tǒng)內(nèi)中運(yùn)行�����,一段時間之后該應(yīng)用程序被發(fā)現(xiàn)包含有致命的安全漏洞�����,如果在通常的系統(tǒng)中�����,這個應(yīng)用程序可能已經(jīng)在這個上面構(gòu)成了漏洞�����,甚至cracker們已經(jīng)成功地攻破這一應(yīng)用并且成為root�����,控制了系統(tǒng)�����;但假如該應(yīng)用程序放在jail內(nèi)運(yùn)行,即使cracker們已經(jīng)攻破系統(tǒng)�����,也無法訪問到j(luò)ail之外系統(tǒng)的其他部分�����。因?yàn)楸M管應(yīng)用程序可以在jail之中自由活動�����,但是無法獲得更多權(quán)限以及訪問在jail之外的任何資源�����。通過這一特性,在系統(tǒng)管理上面可以做到防范未知漏洞�����,避免這些潛在的漏洞對整個系統(tǒng)的安全構(gòu)成威脅�����。
jail通常有兩類應(yīng)用方向:
一、對應(yīng)用程序的活動能力進(jìn)行限制�����。
比如ftp服務(wù)器�����,DNS服務(wù)器�����,這樣一些東西�����,比如wu-ftpd,bind這樣一些隔三岔五就會爆出漏洞的“著名”軟件放到j(luò)ail里面會讓人更加放心。
二�����、受控制的主機(jī)�����。
某些時候�����,需要對外提供有shell的管理性訪問�����,比如作為某公司A,其合作單位B有某項(xiàng)目需要在A的機(jī)器上獲得shell乃至root權(quán)限�����,這就需要提供受控制的主機(jī)�����,用戶可以在jail里面控制幾乎所有他需要的資源(除了jail不允許他訪問的部分)�����。
第一類應(yīng)用并不是非常復(fù)雜�����,實(shí)際上這類應(yīng)用實(shí)現(xiàn)方法相對簡單�����,只要在Linux下面玩過chroot就沒有什么大問題�����;第二類應(yīng)用則有很多有趣的特性�����,而jail最吸引人的部分也是這些很有趣的特性�����。
下面從最簡單的部分開始:
第一類:限制應(yīng)用程序活動能力
首先按照通常習(xí)慣的方式安裝好你想要jail的應(yīng)用程序,下面我們將會使用pure-ftpd(我不是很熟悉它�����,只不過順手拿過來而已�����,據(jù)說還算好用)作為例子�����。
這個ftpd的安裝位置,默認(rèn)為:/usr/local/sbin;/usr/local/bin;在/etc下面還有一些相關(guān)的文件�����,整個結(jié)構(gòu)感覺不是特別干凈�����,不過它運(yùn)行需要的東西并不很多�����,包括 /usr/local/sbin/pure-ftpd , /etc/xxx /etc/xxxx 這樣一些文件。
接下來先用ldd看看/usr/local/sbin/pure-ftpd需要的那些運(yùn)行庫:
tester# cd /usr/local/sbin
tester# ldd pure-ftpd
pure-ftpd:
libcrypt.so.2 => /usr/lib/libcrypt.so.2 (0x2807b000)
libpam.so.1 => /usr/lib/libpam.so.1 (0x28094000)
libc.so.4 => /usr/lib/libc.so.4 (0x2809d000)
這樣我們的工作任務(wù)清單上面就多出來這樣一些東西了: /usr/lib/......
使用ldd我們還可以獲得其他一些需要放入jail的程序的運(yùn)行庫位置�����,信息搜集完成之后�����,我們開始建立jail目錄樹(這里我們假定jail環(huán)境構(gòu)造在/jail內(nèi),當(dāng)然你也可以選擇你喜歡的位置):
tester# mkdir -p /jail/usr/{lib,libexec,local/sbin,local/bin,local/etc,etc,var/run,var/log}
然后將上面列出的�����,libcrypt.so.2 等這些文件都復(fù)制到對應(yīng)位置。當(dāng)然還有我們FreeBSD下非常重要的一個文件ld-elf.so.1�����,盡管ldd沒有給出提示,也還需要復(fù)制過去�����,否則應(yīng)用程序也跑不起來�����。這樣我們就獲得了一個很干凈(最小化)的應(yīng)用程序運(yùn)行環(huán)境jail命令的格式是:
jail path hostname ip-number command
下面開始在jail里面運(yùn)行它:
tester# jail /jail jailed.host.name $JAILED_IP_ADDR /usr/local/sbin/pure-ftpd [options]
這里�����,/jail是你的jail環(huán)境的位置�����,也就是被jail之后,應(yīng)用程序“以為”自己所在的“/”的位置�����;jailed.host.name是你打算提供給這個jail環(huán)境的主機(jī)名�����,某些情況下�����,應(yīng)用程序需要知道這個變量;$JAILED_IP_ADDR是你打算提供ftp服務(wù)(如果是其他應(yīng)用軟件�����,那就是其他服務(wù)咯�����,比如web服務(wù))的那個IP地址�����,至于/usr/local/sbin/pure-ftpd [options] 則是你打算運(yùn)行的那個應(yīng)用程序在jail里面的所在位置以及運(yùn)行所需的參數(shù)。
然后用ps 查看一下進(jìn)程狀態(tài):
tester# ps -axf |grep pureftpd
95 ?? IsJ 0:00.92 pure-ftpd (SERVER) (pure-ftpd)
可以看到所有這些pure-ftpd的進(jìn)程都有一個J�����,標(biāo)志這這一程序正在jail下面運(yùn)行�����。
這時候可能會有一些管理用的程序無法正常工作,因?yàn)檫@些管理用程序無法找到他們需要訪問的那些文件�����,只要找到這些應(yīng)用程序需要調(diào)用的文件(比如日志文件)的位置�����,然后制造一個soft link就可以了�����,通常這些管理程序都可以繼續(xù)正常運(yùn)行。
到此為止�����,一個針對應(yīng)用程序的jail構(gòu)造完成�����。
第二類�����,構(gòu)造受控制的主機(jī)
在這種情況下面,我們首先需要構(gòu)造一個當(dāng)前版本操作系統(tǒng)的完整鏡像(下面這個腳本是從FreeBSD 4.6r的man page里面來的�����,實(shí)際上4.5以及之前的man page在構(gòu)造jail目錄樹腳本上面都有一定的問題�����,4.6才糾正過來):
tester# cat >>/root/mkjail.sh
jailhome=/data/jail
cd /usr/src
mkdir -p $jailhome
make world DESTDIR=$jailhome
cd etc
make distribution DESTDIR=$jailhome -DNO_MAKEDEV_RUN
cd $jailhome/dev
sh MAKEDEV jail
cd $jailhome
ln -sf dev/null kernel
^D
tester# sh /root/mkjail.sh
最后在/data/jail下面獲得一個完整的根據(jù)當(dāng)前源碼樹編譯得來的jail目錄樹�����。
接下來:
/*
tester# mkdir $jailhome/stand
tester# cp /stand/sysinstall $jailhome/stand
tester# jail $jailhome jailed.system.box 192.168.0.123 /bin/csh
(這時候就獲得了一個jail下面的shell)
jailed# /stand/sysinstall
*/
通過sysinstall這個程序可以對jail系統(tǒng)的常用變量進(jìn)行設(shè)置�����,比如時區(qū)�����,DNS�����,Mail。還有jail系統(tǒng)在“啟動”的時候需要執(zhí)行的程序�����。
如果你足夠熟悉這個系統(tǒng)�����,可以考慮自己手工一個個的做過來�����。
復(fù)制/etc/localtime 到 $jailhome/etc�����,使jail環(huán)境下的應(yīng)用程序可以得到正確的時間�����;
復(fù)制/etc/resolv.conf 到 $jailhome/etc/resolv.conf 使jail下面可以正確解釋域名�����;
在jail里面運(yùn)行newaliases 避免sendmail的不斷抱怨;
如果打算運(yùn)行inetd�����,需要修改inetd的啟動參數(shù)�����,加上 -a $LISTEN_ADDR 選項(xiàng)(因?yàn)閖ail無法自己獲得當(dāng)前系統(tǒng)的ip地址�����,所以必須提供一個ip地址給它)在rc.conf里面看起來應(yīng)該是這樣:
inetd_flags="-wW -a 192.168.0.123"
將系統(tǒng)本身的syslogd 運(yùn)行加上 -ss 選項(xiàng)�����,避免這個syslog啟動****端口�����;修改/etc/rc.conf 加上 syslogd_flags="-ss" (對$jailhome/etc/rc.conf也如法炮制)
在jail內(nèi)創(chuàng)建一個空的/etc/fstab�����,在rc.conf里面去掉網(wǎng)卡地址的綁定,這樣在jail系統(tǒng)在啟動的時候不會抱怨�����。
為了實(shí)際運(yùn)行這個jail系統(tǒng)�����,還需要為jail提供一個可以連接的IP地址�����,這個地址可以與實(shí)際環(huán)境同一個子網(wǎng)�����,也可以處于另外一個子網(wǎng)中。
tester# ifconfig fxp0 192.168.0.123 netmask 0xffffffff alias
(這里為網(wǎng)卡fxp0綁定了一個別名�����,準(zhǔn)備提供服務(wù)�����。)
所有這些東西都執(zhí)行完了以后�����,可以有幾個方法把jail系統(tǒng)啟動起來�����,一個是在jail外面運(yùn)行
tester# jail $jailhome jailed.system.box $jail_IP_ADDR /bin/sh $jailhome/etc/rc
一個是單純把ssh/telnetd這樣一些提供遠(yuǎn)程訪問的服務(wù)在jail內(nèi)啟動起來:
tester# jail $jailhome jailed.system.box $jail_IP_ADDR /bin/sh $jailhome/bin/inetd -wW -a $jail_IP_ADDR
然后從外面登錄系統(tǒng)�����,運(yùn)行�����、配置jail系統(tǒng)環(huán)境�����,或者手工啟動需要的應(yīng)用服務(wù)�����。
如果打算運(yùn)行一個用于生產(chǎn)環(huán)境的jail系統(tǒng)的話,推薦使用第一種方法�����,并且把啟動jail的命令放到(實(shí)際環(huán)境的)/etc/rc.local腳本里面去,這樣jail系統(tǒng)可以有比較完備�����,與實(shí)際機(jī)器相類似的環(huán)境�����。
這樣一個jail系統(tǒng)就算構(gòu)造完成并且可以正常運(yùn)作�����,加上在實(shí)際環(huán)境里面定期的嚴(yán)格的備份�����,安全檢查與審計(jì)�����,就可以得到一個很不錯的安全系統(tǒng)。一般的scriptkids已經(jīng)無法對你的系統(tǒng)構(gòu)成實(shí)際威脅�����,即使是某些與黑帽子走得很近的人在漏洞公開之前得到實(shí)際的攻擊腳本�����,并且進(jìn)入你的系統(tǒng),他也只能在jail里面活動�����,而且你可以知道他什么時候進(jìn)入和離開系統(tǒng)�����,做了什么�����。這樣你可以很輕松的恢復(fù)系統(tǒng)和防范下一次未知的攻擊。
在jail系統(tǒng)的管理上面有幾個問題需要注意:
1. jail里面的帳號�����、密碼是跟實(shí)際系統(tǒng)不同的�����,但是在jail之外ps或者查看jail目錄樹內(nèi)的文件時�����,那些jail內(nèi)部的uid會被看成外部的uid�����,因此最好把jail里面的/etc/adduser.conf進(jìn)行修改�����,把他們的uid起始號碼放大�����,比如:uid_start="5000"�����,這樣當(dāng)你在jail外部進(jìn)行文件�����、進(jìn)程管理的時候不至于誤會文件或者進(jìn)程的宿主�����。
2. jail內(nèi)的任何活動�����,其能力都受到了限制�����。比如top/vmstat這樣的東西都不能使用�����,mknod,dd等等這樣需要訪問直接硬件的東西也無法工作�����。所以在jail內(nèi)監(jiān)控系統(tǒng)運(yùn)行狀態(tài)也比較難�����。
3. 當(dāng)想要遠(yuǎn)程關(guān)閉jail系統(tǒng)的時候,可以有兩種方法�����,一是進(jìn)入jail之后kill -TERM -1 或者 kill -KILL -1 �����,這樣向所有該jail內(nèi)的進(jìn)程發(fā)送SIGTERM或者SIGKILL信號,也可以在jail里面運(yùn)行/etc/rc.shutdown來關(guān)閉jail�����。如果是本地想要關(guān)閉jail倒是簡單�����,只要把所有帶有J標(biāo)記的進(jìn)程干掉就可以了�����。
4. 一個系統(tǒng)可以運(yùn)行多個jail�����,各個jail之間無法互相干涉�����,如果在jail外面使用
tester# jail $jailhome jailed.system.box $jail_IP_ADDR /path/to/application
這種方式運(yùn)行某個應(yīng)用程序,下一次試圖通過運(yùn)行
tester# jail $jailhome jailed.system.box $jail_IP_ADDR /bin/csh
這種方式獲得的jail過的shell來管理該應(yīng)用程序?qū)?����。因?yàn)檫@時是兩個各自獨(dú)立的jail,互相不能干涉�����。為了能對jail系統(tǒng)內(nèi)進(jìn)程靈活地進(jìn)行管理�����,推薦在jail里面除開應(yīng)用軟件之外�����,再啟動telnetd或者sshd之類的服務(wù)�����,這些服務(wù)此時與應(yīng)用程序運(yùn)行在同一個jail里面�����,就可以通過遠(yuǎn)程登入系統(tǒng)后獲得與那些應(yīng)用程序在同一個jail內(nèi)的shell�����。
5. jail系統(tǒng)內(nèi)的所有應(yīng)用軟件版本號應(yīng)該與外部實(shí)際系統(tǒng)保持一致�����。當(dāng)外部系統(tǒng)的源碼同步到某個版本并且重新做過make world之后�����,推薦也重新生成一次jail,以避免某些可能的莫名其妙的錯誤�����。
6. 另外有一個做法不知道是否正確�����,在jail里面每次使用ps的時候�����,系統(tǒng)都會報告沒有/var/run/dev.db文件�����,讓人感覺很不舒服,復(fù)制實(shí)際系統(tǒng)的/var/run/dev.db 到 $jailhome/var/run/ �����,就不會再碰到這個問題�����。
