Mi a részfa chroot
Ez a könyv bemutatja a működési elvek és alkalmazása több szerver fut Linux. Foglalkozik DHCP-szerver, Samba és NFS szerverek, nyomtatószervereknél NTP-kiszolgáló, a távoli érzékelő eszköztől és az X Window System. Azt elfelejtette alapok hagyományosan használt működéséhez Internet-szolgáltatás: DNS szerverek, SMTP, HTTP és FTP. Nagy figyelmet fordítanak a kérdések a hálózat biztonságát. Ez a könyv tükrözi a távfelügyeleti eszközök - eszközök Linuxconf, Webmin és SWAT.
Ez a könyv minden bizonnyal hasznos mind a kezdők és a tapasztalt rendszergazdák.
Linux hálózati eszközök
Volt egy nagyszerű könyv a Linux, meg kell használni. Ne hagyd ki a lehetőséget.
Alexander Stentsin, Help Net Security,
Ha törekszünk, hogy teljes mértékben kihasználják a Linux hálózati lehetőségeket - ez a könyv az Ön számára. Én nagyon ajánlom olvasni.
Rodzher Berton, West, DiverseBooks.com
Könyv: Linux hálózati eszközök
Mi a részfa chroot
Mi a részfa chroot
A gyökér a Linux fájlrendszer fa egy könyvtár /. Relatív, hogy ez a könyvtár által meghatározott útvonal bármely más könyvtárba. Amikor létrehoz egy chroot részfa gyökerét feloldva; ehelyett hozzá van rendelve egy a fájlrendszer-könyvtár. A létrehozásának elvét chroot részfa ábrán látható. 23.1. Ha az új gyökér könyvtárat készlet, például a / opt / chroot. Az útvonal bármely fájl vagy könyvtár nem határozható képest a /. és a relatív / opt / chroot. Ennek eredményeként, ha a szerver megkapja a vezérlést a betörő, és módosítja az / etc / passwd. file / opt / chroot / etc / passwd fog változni, és a jelszó file marad a jelenlegi formájában.
Ábra. 23.1. Chroot részfa egy különleges környezetben, amely csak azokat a fájlokat, amelyek szükségesek a szerver
rendszer hívás chroot () létrehozásához használt chroot részfa. chroot () függvény is lehet nevezni akár a szerver maga, vagy chroot programot. indításához használt szerver. Részletek erről a kérdésről lesz szó ebben a fejezetben.
Ha chroot részfa következő feltételeknek kell teljesülnie.
• Ha a program egy konfigurációs fájl vagy könyvtár, valamint a biztosító az ügyfél vagy enyhítette néhány fájlt, ezeket a fájlokat kell helyezni a részfa chroot. Ennek eredményeként a szerverek száma a méret a részfa kell nagyon nagy. Azonban, ha a szerver saját chroot () funkció. el tudja olvasni a tartalmát a szükséges fájlokat a chroot () hívást. azaz amikor a kereset terjedelmét is részfa chroot korlátozott lesz. Ebben az esetben néhány fájl, amelyet a szerver fut, eshet kívül a részfa chroot.
• A szerver csak alkalmazni kell a fájlokat, amelyek a részfa chroot. Csökkentve a szükséges minimumra fájlok száma szereplő részfa könyvtárak, akkor csökkentheti a károsodás kockázata a rendszert, ha a támadó átveszi az irányítást felette a szerver.
• Ha a részfa chroot kell futtatni több szerverek, amelyek mindegyike szükséges létrehozni egy külön részfa. Ebben az esetben a támadó nem fogja tudni, hogy az egyik szerver konfigurációs változások mások.
• Mivel a részfa chroot egy részhalmaza a Linux fájlrendszer, programok futnak kívül részfa írhat fájlokat könyvtárakban tulajdonú részfa chroot. Az egyéni körülményektől függően, ez a tény is tekinthető akár előnyt, vagy egy esetleges problémák forrása. A való hozzáférés kérdései helyi programok könyvtárba részfa chroot figyelembe kell venni később ebben a fejezetben.
Annak ellenére, hogy a használata a részfa chroot jelentősen csökkentheti annak kockázatát, hogy a számítógép, amelyen a szerver fut, ez a megközelítés megvannak a maga hátrányai és korlátai. Az egyik korlát az, hogy nem minden szerver belül lehet elvégezni részfa chroot. Egyes kiszolgálók, az ilyen művelet egészen természetes (mint például egy FTP szerver). Más szerverek, mint például Telnet, szükséges egy többé-kevésbé teljes hozzáférést a Linux fájlrendszer. Így egyes szerverek elkerülhetetlenül kívül futó chroot részfa.
Részfa chroot csomag nem telepíti automatikusan a telepítőprogram, létrehoz egy rendszergazda. Emiatt nehéz telepítés kiegészítéseket a szerverre. Ha elfelejtette másolni a megváltozott fájlokat a kívánt könyvtárba, szerver konfiguráció, futás chroot. változatlanok maradnak.
Nem szabad elfelejteni, hogy a végrehajtott chroot részfájának root jogosultsággal, okozhat chroot () és hatályának kiterjesztése tetteik a teljes fájlrendszert. (To megszervezni egy ilyen kihívásra nehéz, de lehetséges.) Így, így root jogosultságokkal futtató kiszolgáló chroot részfa. ügyelni kell. Mint ismeretes, a hiányosságokat találtak szinte minden szerver védelem, és, természetesen, ilyen felfedezett meghibásodásokat a jövőben. Így annak ellenére, hogy részfájának chroot egy rendkívül hasznos eszköz, nem garantálja a rendszer biztonságát.
Subtree chroot védi a számítógépet a támadásoktól kívülről, de ez nem zárja ki a szerverről a másikra számítógépes hacker. Például, ha egy részfa chroot fut egy DNS-kiszolgáló és a támadó sikerült átveheti az irányítást felette, akkor nem feltétlenül próbál vele a rendszer. Cseréje bejegyzéseket a szerver konfigurációs fájl, lehet átirányítani ügyfél kéri a számítógéphez. Ha azonban veszélybe futtató kiszolgálók részfájának chroot. a támadó szervez segítségével támadás távoli csomópont, akkor a terv a távoli hálózati rendszergazda úgy fog kinézni, mintha a támadás által a felhasználó számítógépén dolgozva.
És végül, ha fut egy szerveren belül részfa chroot. más szerverek végezhetők kívül a részfa, és ezáltal veszélyezteti a rendszer számára. Továbbá, ha a fájlrendszer területet, a rendelkezésre álló különböző szervereken, átfedés, akkor lehetséges, hogy az egyik szerver lehet használni, hogy változtatni más konfigurációt, amely megteremti a további lehetőségeket illegális belépését a rendszerbe.