Kuidas seadistada Linuxi chrooti vanglaid

Eriti need, mis on pühendatud kriitilistele teenustele, vajavad Linuxi süsteemid töötamiseks eksperdi tasemel teadmisi ja peamisi turvameetmeid.

Kahjuks leiavad turvanõrkused ka pärast ülitähtsate turvameetmete võtmist tee turvalistesse süsteemidesse. Üks viis oma süsteemi haldamiseks ja kaitsmiseks on rünnaku tekkimisel võimalike kahjude piiramine.

Selles õpetuses käsitleme rünnaku korral süsteemi kahjustuste haldamiseks chroot vangla kasutamist. Uurime, kuidas eraldada protsessid ja alamprotsessid konkreetsesse keskkonda vale juurõigustega. See piirab protsessi konkreetse kataloogiga ja keelab juurdepääsu teistele süsteemipiirkondadele.

Lühike sissejuhatus chroot vanglasse

Chroot vangla on meetod protsesside ja nende alamprotsesside eraldamiseks põhisüsteemist, kasutades valesid juurõigusi.

Nagu mainitud, piirab konkreetse protsessi isoleerimine võltsjuureõiguste abil kahjuliku rünnaku korral kahjusid. Chrootitud teenused piirduvad kataloogide ja nende kataloogide failidega ning pole teenuse taaskäivitamisel püsivad.

Miks kasutada chroot vanglat

Chroot vangla peamine eesmärk on turvameede. Chroot on kasulik ka siis, kui kaotatud paroolid taastatakse seadmete paigaldamisel elavast meediumist.

Chroot vangla seadmisel on mitmeid eeliseid ja puudusi. Need sisaldavad:

Eelised

• Piirab juurdepääsu: Turvalisuse rikkumise korral on kahjustatud ainult chroot-vanglas olevad kataloogid.
• Käskude piirangud: kasutajad või protsessid piirduvad vanglas lubatud käskudega.

Puudused

• Seadistamine võib olla keeruline.
• See nõuab palju tööd - kui vajate lisakäsku kui vaikimisi lubatud, peate selle käsitsi kaasama.

Kuidas luua põhiline Chroot vangla

Selles protsessis loome chroot vangla, kus on 3 käsku, mis on piiratud selle kaustaga. See aitab illustreerida vangla loomist ja erinevate käskude määramist.

Alustage peakausta loomisega. Võite mõelda, et see kaust on põhisüsteemi / kaust. Kausta nimi võib olla mis tahes. Meie puhul nimetame seda / chrootjailiks

sudo mkdir / chrootjail

Kasutame seda kataloogi võltsjuurena, mis sisaldab käske, mille talle määrame. Kasutatavate käskude korral vajame bin kataloogi (sisaldab käsku käivitatavaid faile) ja jne., kataloog (sisaldab käskude konfiguratsioonifaile).

Looge kausta / chrootjail sees need kaks kausta:

sudo mkdir / chrootjail / etc, bin

Järgmine samm on dünaamiliselt lingitud teekide kataloogide loomine käskude jaoks, mille tahame vanglasse lisada. Selles näites kasutame käske bash, ls ja grep.

Nende käskude sõltuvuste loetlemiseks kasutage käsku ldd, nagu allpool näidatud:

sudo ldd / bin / bash / bin / ls / bin / grep

Kui te ei asu prügikasti kaustas, peate läbima käskude täieliku tee, mida soovite kasutada. Näiteks ldd / bin / bash või ldd / bin / grep

Ülaltoodud ldd väljundist vajame katalooge lib64 ja / lib / x86_64-linux-gnu. Looge need kaustad vangla kataloogi.

sudo mkdir -p / chrootjail lib / x86_64-linux-gnu, lib64

Kui oleme loonud dünaamilised teegi kataloogid, saame need puu abil loetleda, nagu allpool näidatud:

Kui me edeneme, hakkate saama selget pilti sellest, mida chroot vangla tähendab.

Loome keskkonna, mis sarnaneb Linuxi süsteemi tavalise juurkataloogiga. Erinevus seisneb selles, et selles keskkonnas on lubatud ainult konkreetsed käsud ja juurdepääs on piiratud.

Nüüd, kui oleme prügikasti loonud. jne., lib ja lib64, saame lisada vajalikud failid nende vastavatesse kataloogidesse.

Alustame kahendfailidest.

sudo cp / bin / bash / chrootjail / bin && sudo cp / bin / ls / chrootjail / bin && sudo cp / bin / grep / chrootjail / bin

Pärast vajalike käskude kahendfailide kopeerimist vajame iga käsu jaoks teeke. Kopeeritavate failide vaatamiseks saate kasutada käsku ldd.

Alustame bashiga. Bashi jaoks vajame järgmisi teeke:

/ lib / x86_64-linux-gnu / libtinfo.nii.6
/ lib / x86_64-linux-gnu / libdl.nii.2
/ lib / x86_64-linux-gnu / libc.nii.6
/ lib64 / ld-linux-x86-64.nii.2

Selle asemel, et kõiki neid faile ükshaaval kopeerida, võime kõigi teekide kõigi teekide kopeerimiseks kataloogi / chrootjail / lib / x86_64-linux-gnu kasutada lihtsat tsüklit

Korrake seda protsessi nii käsu ls kui ka grep puhul:

Ls-käsu jaoks:

Grep-käsu jaoks:

Järgmisena on meil lib64 kataloogis üks jagatud teek kõigis binaarfailides. Saame selle lihtsalt kopeerida, kasutades lihtsat cp käsku:

Järgmisena redigeerime peamist bashi sisselogimisfaili (asub / etc / bash.bashrc Debiani keeles), et saaksime bash-viiba oma maitse järgi kohandada. Kasutades lihtsaid kaja ja tee käske, nagu näidatud:

sudo echo 'PS1 = "CHROOTJAIL #"' | sudo tee / chrootjail / etc / bash.bashrc

Kui kõik ülaltoodud toimingud on lõpule viidud, saame chroot-käsu abil sisse logida vangla keskkonda, nagu näidatud.

sudo chroot / chrootjail / bin / bash

Juurdepääsuõigused saad viipaga, mis on sarnane ülaltoodud käsu ja tee loodud käskudega.

Kui olete sisse loginud, näete, et teil on juurdepääs ainult käskudele, mille lisasite vangla loomisel. Kui vajate rohkem käske, peate need käsitsi lisama.

MÄRGE: Kuna olete lisanud bashi kesta, on teil juurdepääs kõigile bashi sisseehitatud käskudele. See võimaldab teil vanglast väljuda, kasutades käsku exit.

Järeldus

Selles õpetuses käsitleti, mis on chroot vangla ja kuidas saame seda kasutada põhisüsteemist eraldatud keskkonna loomiseks. Kriitiliste teenuste jaoks eraldatud keskkondade loomiseks võite kasutada juhendis käsitletud tehnikaid.

Õpitu harjutamiseks proovige luua apache2 vangla.

Vihje: Alustage juurkataloogi loomisega, lisage konfiguratsioonifailid (etc / apache2), lisage dokumendi juur (/ var / www / html), lisage binaarkaart (/ usr / sbin / apache2) ja lõpuks nõutavad teegid (ldd / usr / sbin / apache2)