Jail简单打造安全FreeBSD系统(页 1) - Linux/Unix系统安全 - Linux伊甸园论坛

Roc.Ken 发表于 2005-4-25 21:34

Jail简单打造安全FreeBSD系统

★极靓虎虎★ &  dahubaobao发表于2005-3-9 17:35:38 [URL=http://hackvip.cn/more.asp?name=dahubaobao&id=960]点击访问原帖[/URL]

Jail简单打造安全FreeBSD系统

前言

对Linux系统有了解的朋友，应该使用过（听说过）Chroot，它在Linux系统中扮演着“监牢”的角色。而FreeBSD作为一款Unix类操作系统（确切的说是BSD风格的Unix），以其易用性和稳定性赢得了众多用户的青昧，在Internet占据着一席之地。同样，它也具有同Chroot相同功能的程序----Jail，而且Jail有一些Chroot没有的特性。Jail可以应用于各种服务，包括常见的Web/Mail/DNS等，限于篇幅，本文以Web服务器为例进行说明。其实，本文的目的是说明Jail的使用方法，只不过是以Web服务器为例，如果你能掌握使用Jail构建Web服务器的方法，其他服务是绝对可以触类旁通的，不信？请接着往下看……

一，前续知识

1，FreeBSD目录结构

能否熟练使用Jail，很大前提是你是否熟悉FreeBSD目录结构（文件布局）。如果你之前使用过Linux或者其他Unix，那就会对FreeBSD的目录结构不会太过于陌生（如图1）。我们来具体分析一下：
[code]
Bin/          系统中基本的静态链接库

Boot/          系统启动时所需的配置文件和可执行程序

Compat@ 一个指向Usr/Compat的符号连接，用于与其他系统的兼容

Dev/          特殊的文件类型，用于与系统中的设备连接起来

Etc/             保存系统级和用户级的配置文件（包括“敏感”信息）

Home@       一个指向Usr/Home的符号连接，所有普通用户的主目录

Modules/    可装入的内核模块保存在该目录下

Proc/             称为进程文件系统，它是进程表的一个接口

Sbin/             静态链接的系统二进制文件

Stand/          包含一组硬链接程序，值得关心的就是Sysinstall

Sys@          一个指向Usr/Src/Sys的符号连接，内核源文件都在此

Usr/             包含动态链接库、用户文件和已安装的程序，稍后详述

Var/             系统中的一些“可变动”的文件，比如日志
[/code]

[------------------------------FreeBSD目录结构关键元素-----------------------------------]

FreeBSD对目录结构要求很严格，其中最为明确的原则是：管理员安装的任何程序都被保存在/usr/local目录下。尽管一个程序会把自己的库文件安装在/var/lib目录下，把配置文件安装在/etc目录下。但FreeBSD还是会修改安装脚本（Makefile），使得库文件被保存在/usr/local/lib、/usr/local/libexec、/usr/local/libdata目录中；二进制文件放到/usr/local/bin、/usr/local/sbin目录中；配置文件放到/usr/local/etc目录下。如果程序附带了启动脚本，那么它将被保存到/usr/local/etc/rc.d目录中，系统启动时，/etc/rc（基础系统的启动脚本）下的脚本运行之后，/usr/local/etc/rc.d目录下的任何文件都将被运行。这种精细的控制是非常容易维护的，尤其是在新机器上重建系统时，因为可以在不修改系统的情况下，将/usr/local目录下的子目录和所有文件直接复制到另一个新系统，而安装过的软件大部分都可以运行。

掌握以上这些内容，就可使用Jail了，关于FreeBSD文件布局的具体详情，可通过阅读Man Hier手册页获得。

2，Jail简介

Jail命令在FreeBSD 4.0中首次出现。用于控制进程以及其派生的子进程。假如某一个应用程序在系统中运行，一段时间后应用程序被发现包含严重的安全漏洞，攻击者甚至可以获得Root权限，从而对系统造成威胁和破坏。但是，如果这个应用程序运行在Jail环境中，即使攻击者获得了Root权限，他也不可能访问到Jail以外的资源，因为应用程序已经被Jail“监禁”起来了，除了在本身的环境内，系统其他资源一律无法访问。由此可见，使用Jail可以很好的防范未知漏洞，减少漏洞对系统的危害。

Roc.Ken 发表于 2005-4-25 21:45

Jail通常有两种应用方向：

1，对应用程序进行限制

使用Jail可以对大多数应用程序进行限制。比如FTP服务器，DNS服务器，像Wu-FTP、BIND样一些隔三岔五就会爆出漏洞的“著名”软件放到Jail环境里面会更加安全，同时也会让人更加放心。这可以说是Jail的初级应用。

2，构建受控制主机

某些时候，系统需要对外提供一些额外的管理权限，比如虚拟主机服务商需要为客户提供额外的访问权限（可以是一般权限的Shell，甚至是Root权限），这就需要使用Jail架设受控制主机，使客户只能控制Jail环境内所有他需要的资源，即便是给客户Root权限！其实这才是Jail最迷人的地方，同样也是Jail的高级应用。

Jail在默认的系统中已经安装了，直接执行Jail会返回帮助信息。

#jail

Usage：jail [-u username] path hostname ip-number command ...

-u username  //指定一个运行Jail的用户

Path       //指定使用Jail的位置，例如/var/jail

Hostname //给Jail环境所起的主机名

ip-number //给Jail环境所指定的IP地址

command    //使用Jail限制的应用程序及其参数

关于前续知识就这么多，在下边的文章中，我会分为两部分介绍Jail，我想聪明的你已经猜到是哪两部分了，好了，继续看下边的文章吧！

二，初级应用

测试环境（如图2）：

系统：FreeBSD 4.9 STABLE

Web：Apache 1.3.x+mod_ssl+PHP 4.x.x

1，准备工作

首先是安装Apache和PHP，不过在这之前先更新一下Prots树。

#mkdir /root/ports_update

#cd /usr/share/examples/cvsup

#cp ports-supfile /root/ports_update

#cd /;cd /root/ports_update

#vi ports-supfile

//修改“default host=”为你想使用的服务器，比如我是：cvsup.freebsdchina.org

#cvsup ?g ?L 2 ports-supfile

//更新Ports，大概10-20分钟之间，视网络速度而定。再来安装软件包。

#cd /usr/ports/www/apache13-modssl

#make install clean

//安装Apache

#cd /usr/ports/www/mod-php4

#make install

#cp /work/php-4.3.4/php.ini-dist /usr/local/etc/php.ini

#make clean

//安装PHP

以上安装都为默认，如果要修改参数，可以在Ports目录里修改安装脚本Makefile。Apache的模块非常多，如果还想安装其他模块，请参考Apache文档。关于Apache ★极靓虎虎★ 发表于 2005-3-9 17:34:06

关于Apache和PHP的安全配置就不在此叙述了，大家可以参考黑防第1期的Apache专题，很全面。

2，应用Jail

Apache对应的进程是HTTPD，位于/usr/local/sbin/httpd。现在需要收集HTTPD运行时所依赖的文件，然后将其通通放进Jail里，最后使用Jail命令执行一次就可以了。获得HTTPD运行时所依赖的文件可以使用ldd命令，也可以使用第三方工具。在本文中我选择第三方工具Strace，需要在Ports中安装它。

#cd /usr/ports/devel/strace

#make install clean

安装完成之后，就可以使用它来查看HTTPD运行时所依赖的文件了。

#strace ?o /root/strace /usr/local/sbin/httpd

//将结果保存到/root/strace文件

下面来建立一个Jail运行时的目录，我们需要将HTTPD运行时所依赖的文件都放到这个目录里。如何知道这些文件请自行参考Strace文件。（如果懒的安装，直接用ldd吧，呵呵）

#mkdir /var/web_jail

#mkdir -p /var/web_jail/{etc,bin,tmp,var/log,var/run,dev,libexec,sbin}

#mkdir ?p /var/web_jail/

{usr/local/etc/apache,usr/local/lib,/usr/local/libexec/apache,/usr/local/sbin,/usr/local/www/data,/usr/libexec,/usr/lib,/usr/bin}

//建立所有相关的目录

#ln ?s /var/web_jail /web_jail

//再做一个硬链接

#cp /dev/null /web_jail/dev/null

#cp /usr/local/sbin/httpd /web_jail/usr/local/sbin/httpd

#cp /usr/local/sbin/apachectl /web_jail/usr/local/sbin/apachectl

//复制HTTPD相关文件到Jail环境内。Apachectl是一个Shell脚本，通过是Less命令查看后得知它依赖与Sh和Limits，所以也要把它们复制到Jail环境内。

#cp /bin/sh /web_jail/bin/sh

#cp /usr/bin/limits /web_jail/usr/bin/limits

//复制Sh和Limits到Jail环境内

#cp ?Rf /usr/local/etc/apache /web_jail/usr/local/etc/apache

#cp ?Rf /usr/local/libexec/apache /web_jail/usr/local/libexec/apache

//复制配置文件到Jail环境内

#cp /usr/lib/libcrypt.so.2 /web_jail/usr/lib/libcrypt.so.2

#cp /usr/lib/libc.so.4 /web_jail/usr/lib/libc.so.4

#cp /usr/lib/libmm.so.13 /web_jail/usr/lib/ libmm.so.13

#cp /usr/libexec/ld-slf.so.1 /web_jail/usr/libexec/ld-slf.so.1

#cp /usr/local/lib/libmm.so.13 /web_jail/usr/local/lib/libmm.so.13

//复制模块文件到Jail环境内

#chmod 777 /web_jail/var/run /web_jail/var/log /web_jail/tmp /web_jail/dev/null

//设置一些目录的权限。所有用户可读可写可执行

#grep root /etc/master.passwd > /web_jail/etc/master.passwd

#grep www /etc/master.passwd >> /web_jail/etc/master.passwd

#grep root /etc/group > /web_jail/etc/group

#grep www /etc/group >> /web_jail/etc/group

//提取Root、Www用户和Root、Www组，并将其放到Jail环境内

#pwd_mkdb ?d /web_jail/etc /web_jail/etc/master.passwd

//生成帐户数据库。如果成功，会在/web_jail/etc目录下生成4个文件

#ls /web_jail/etc

Group  master.passwd  pwd.db  spwd.db

//这就证明生成帐户数据库成功

#jail ?u root /web_jail [url]www.ringz.org[/url] 192.168.0.20 /usr/local/sbin/apachectl start

//启动Jail

#ps ?aux | grep httpd

654 ?? SJ 0:00:06 /usr/local/sbin/httpd

//启动Jail成功，因为这个HTTPD进程有一个“J”标志，现在HTTPD是运行在Jail环境下的，欢呼吧！

到此为止，一个运行在Jail环境内的Web服务器就架设完毕了。再次提醒，本文中并没有对Apache和PHP的安全配置，如果在现实中，一定要对Http.conf和php.ini好好配置一翻，以免给入侵者留下空子。我们在来看看Jail的高级应用。

三，高级应用

现在才是Jail最有趣的地方---构建受控制主机。遇到这种情况，首先我们需要做一个当前系统的完整镜像，然后将其统统放到Jail环境内。我们可以用一段Shell脚本来完成这个工作。

dahubaobao#vi makejail.sh

#!/bin/sh

Jhome=$1

echo "Jail Home:$Jhome"

echo "Start Make World"

cd /usr/src

mkdir -p $Jhoem

make world DESTDIR=$Jhome

cd etc

make distribution DESTDIR=$Jhome -DNO_MAKEDEV_RUN

cd $Jhome/dev

sh MAKEDEV jail

cd $Jhome

ln -sf dev/null kernel

echo "Make World End"

dahubaobao#chmod +x makejail.sh

dahubaobao#./makejail.sh /var/jail

......

//最后会在你指定的目录下面获得一个完整的根据当前源码树编译得来的Jail目录树。小提示：$1、$2......相当于获取用户的输入，它和批处理（BAT）中的%1、%2......是一个道理。还有如$0，它保存的是程序的自身的名字；$@则是保存所有的参数；最后$#是保存给程序传递的参数的数目。

接下来就可以向Jail环境内添加程序了，比如将Sysinstall复制到Jail环境内，其目的是为了对Jail系统进行基本的设置，例如Time、DNS等。

dahubaobao#vi AddJail.sh

#!/bin/sh

Jhome=$1

mkdir $Jhome/stand

cp /stand/sysinstall $Jhome/stand

......

#后边的可以随便写，想复制什么都可以。写完之后记得要赋予这个Shell脚本的可执行权限（#chmod +x AddJail.sh）。

如果你对系统非常熟悉，也可以手工来解决这个问题。比如复制/etc/localtime到Jail环境内，可以使jail环境下的应用程序可以得到正确的时间；复制/etc/resolv.conf到Jail环境内使jail下面可以正确解释域名。

dahubaobao#vi DiyJail.sh

#!/bin/sh

Dir=$1

DirBin=$2

Jhome=$3

echo "Copy $DirBin ===> $Jhome$Dir"

mkdir $Jhome$Dir

cp $DirBin $Jhome$Dir

dahubaobao#chmod +x DiyJail.sh

dahubaobao#./DiyJail.sh  /etc /etc/resvlo.conf /var/jail

当然，这只是简单的框架，个人还是推荐使用Sysinstall配置系统比较方便。

如果要使用Inetd，则需要修改参数，加上“-a IP Address”，因为Jail自己无法获得IP地址，所以需要指定一个；将系统本身的Syslogd运行加上“-ss”选项，避免这个Syslog启动监听端口；再为网卡绑定一个IP地址，用于实际运行Jail。打开/etc/rc.conf文件，加入如下语句：

inetd_flags="-wW -a 192.168.0.123"

syslogd_flags="-ss"

ifconfig lnc0 192.168.0.30 netmask 0xffffff00 alias

在所有的工作都完成之后，就可以把Jail系统启动起来，方法有两种，一个是把Jail系统在外边启动，另一个则是只启动Telnet/Ssh服务，然后从外面登录系统，运行、配置Jail系统环境，或者手工启动需要的应用服务。

如果采用第一种方法，可以将启动Jail的命令写到一Sh文件中，并放到/usr/local/etc/rc.d目录中，如果采用第二种方法，则需要使用Inetd。他们的形式如下：

#jail $Jhome $Jname $JIPaddr /bin/sh $Jhome/etc/rc

//这是第一种方法

#jail $Jhome $Jname $JIPaddr /bin/sh $Jhome/bin/inetd -wW -a $JIPaddr

//这是第二种方法

下面是我的一个Shell脚本，目的是用于实现此功能

dahubaobao#vi StartJail.sh

#!/bin/sh

Jhome=$1

Jname=$2

JIPaddr=$3

One=1

Two=2

echo -n "Input 1 or 2:"

read name

echo

if [ $name -eq $One ]

then

echo "The first method"

echo "Jail Starting......"

/usr/sbin/jail $Jhome $Jname $JIPaddr /bin/sh $Jhome/etc/rc

echo "Start Success"

elif [ $name -eq $Two ]

then

echo "The second method"

echo "Jail Starting......"

/usr/sbin/jail $Jhome $Jname $JIPaddr /bin/sh $Jhome/bin/inetd -wW -a $JIPaddr

echo "Start Success"

else

echo "Error,Input 1 or 2"

fi

echo "End"

dahubaobao#chmod +x StartJail.sh

dahubaobao#./StartJail.sh /var/jail dahubaobao 192.168.0.30

......

这样一个Jail系统就算构造完成并且可以正常运作，加上在实际环境里面定期的备份，安全检查等，就可以得到一个很不错的安全系统。

四，注意事项

1，Jail环境内的帐号、密码是跟实际系统不同的，但是在Jail环境内查看文件时，Jail内部文件的Uid会被看成外部的Uid，所以最好把Jail环境内的/etc/adduser.conf进行修改，把他们的Uid起始号码放大，比如：uid_start="5000"，这样当你在Jail外部进行文件、进程管理的时候不至于误会文件或者进程的宿主。

2，有两种方式可以关闭Jail系统。首先是远程关系，在进入Jail之后，使用“Kill -TERM -1”或“Kill -KILL -1”命令，这样就会向Jail内的进程发送SIGTERM或SIGKILL信号；二是可以在Jail里面运行/etc/rc.shutdown命令，它同样可以关闭Jail。如果是本地想要关闭Jail，只要把所有带有J标记的进程干掉就可以了。

3，Jail环境内的所有应用程序应该与外部实际系统保持一致。当外部系统重新做过Make World之后，推荐也重新生成一次Jail，以避免某些潜在的问题。

4，一个系统可以运行多个jail，各个jail之间无法互相干涉。比如首先运行一个应用程序的Jial，再运行一个获得Shell的Jail，但现在如果你想用Jail内的Shell来管理Jail内的应用程序将会失败，因为这时是两个各自独立的Jail，互相不能干涉。

后记

本文通过两个方面的内容介绍如何使用Jail。对于第一部分，几乎所有的服务都可以使用Jail，并不仅现于Web服务；对于第二部分，则使用的方法就灵活很多了，需要具体情况，具体分析，不能一概而论。在第一部分中，我是一步一步介绍使用步骤的，在第二部分中，我是以Shell脚本的方式介绍使用步骤的，目的是希望大家对两种形式都有所了解。为了更好的服务读者，这两部分的内容我都写了相关的Shell脚本，分别为：OneJail.sh和TwoJail.sh，大家可以去压缩包中查找。文章如有错误，还请多多包涵。

页: [1]

Linux伊甸园论坛's Archiver

Jail简单打造安全FreeBSD系统