2020国自产拍精品高潮,成年动作片AV在线播放,三级黄色在线观看

主頁 > 知識庫 > freebsd下jail命令說明

freebsd下jail命令說明

Jail 命令在FreeBSD 4.0中首次出現(xiàn)。用于“監(jiān)禁”進(jìn)程以及其衍生的子進(jìn)程。而且jail和FreeBSD本身的secure_level合并使用可以顯著限制（jail中的）root的能力。

假設(shè)某一個應(yīng)用程序在系統(tǒng)內(nèi)中運(yùn)行，一段時間之后該應(yīng)用程序被發(fā)現(xiàn)包含有致命的安全漏洞，如果在通常的系統(tǒng)中，這個應(yīng)用程序可能已經(jīng)在這個上面構(gòu)成了漏洞，甚至cracker們已經(jīng)成功地攻破這一應(yīng)用并且成為root，控制了系統(tǒng)；但假如該應(yīng)用程序放在jail內(nèi)運(yùn)行，即使cracker們已經(jīng)攻破系統(tǒng)，也無法訪問到j(luò)ail之外系統(tǒng)的其他部分。因為盡管應(yīng)用程序可以在jail之中自由活動，但是無法獲得更多權(quán)限以及訪問在jail之外的任何資源。通過這一特性，在系統(tǒng)管理上面可以做到防范未知漏洞，避免這些潛在的漏洞對整個系統(tǒng)的安全構(gòu)成威脅。

jail通常有兩類應(yīng)用方向：

一、對應(yīng)用程序的活動能力進(jìn)行限制。

比如ftp服務(wù)器，DNS服務(wù)器，這樣一些東西，比如wu-ftpd,bind這樣一些隔三岔五就會爆出漏洞的“著名”軟件放到j(luò)ail里面會讓人更加放心。

二、受控制的主機(jī)。

某些時候，需要對外提供有shell的管理性訪問，比如作為某公司A，其合作單位B有某項目需要在A的機(jī)器上獲得shell乃至root權(quán)限，這就需要提供受控制的主機(jī)，用戶可以在jail里面控制幾乎所有他需要的資源（除了jail不允許他訪問的部分）。

第一類應(yīng)用并不是非常復(fù)雜，實際上這類應(yīng)用實現(xiàn)方法相對簡單，只要在Linux下面玩過chroot就沒有什么大問題；第二類應(yīng)用則有很多有趣的特性，而jail最吸引人的部分也是這些很有趣的特性。

下面從最簡單的部分開始：

第一類：限制應(yīng)用程序活動能力

首先按照通常習(xí)慣的方式安裝好你想要jail的應(yīng)用程序，下面我們將會使用pure-ftpd（我不是很熟悉它，只不過順手拿過來而已，據(jù)說還算好用）作為例子。

這個ftpd的安裝位置，默認(rèn)為：/usr/local/sbin;/usr/local/bin;在/etc下面還有一些相關(guān)的文件，整個結(jié)構(gòu)感覺不是特別干凈，不過它運(yùn)行需要的東西并不很多，包括 /usr/local/sbin/pure-ftpd , /etc/xxx /etc/xxxx 這樣一些文件。

接下來先用ldd看看/usr/local/sbin/pure-ftpd需要的那些運(yùn)行庫：

tester# cd /usr/local/sbin

tester# ldd pure-ftpd

pure-ftpd:

libcrypt.so.2 => /usr/lib/libcrypt.so.2 (0x2807b000)

libpam.so.1 => /usr/lib/libpam.so.1 (0x28094000)

libc.so.4 => /usr/lib/libc.so.4 (0x2809d000)

這樣我們的工作任務(wù)清單上面就多出來這樣一些東西了： /usr/lib/......

使用ldd我們還可以獲得其他一些需要放入jail的程序的運(yùn)行庫位置，信息搜集完成之后，我們開始建立jail目錄樹（這里我們假定jail環(huán)境構(gòu)造在/jail內(nèi)，當(dāng)然你也可以選擇你喜歡的位置）：

tester# mkdir -p /jail/usr/{lib,libexec,local/sbin,local/bin,local/etc,etc,var/run,var/log}

然后將上面列出的，libcrypt.so.2 等這些文件都復(fù)制到對應(yīng)位置。當(dāng)然還有我們FreeBSD下非常重要的一個文件ld-elf.so.1，盡管ldd沒有給出提示，也還需要復(fù)制過去，否則應(yīng)用程序也跑不起來。這樣我們就獲得了一個很干凈（最小化）的應(yīng)用程序運(yùn)行環(huán)境jail命令的格式是：

jail path hostname ip-number command

下面開始在jail里面運(yùn)行它：

tester# jail /jail jailed.host.name $JAILED_IP_ADDR /usr/local/sbin/pure-ftpd [options]

這里，/jail是你的jail環(huán)境的位置，也就是被jail之后，應(yīng)用程序“以為”自己所在的“/”的位置；jailed.host.name是你打算提供給這個jail環(huán)境的主機(jī)名，某些情況下，應(yīng)用程序需要知道這個變量；$JAILED_IP_ADDR是你打算提供ftp服務(wù)（如果是其他應(yīng)用軟件，那就是其他服務(wù)咯，比如web服務(wù)）的那個IP地址，至于/usr/local/sbin/pure-ftpd [options] 則是你打算運(yùn)行的那個應(yīng)用程序在jail里面的所在位置以及運(yùn)行所需的參數(shù)。

然后用ps 查看一下進(jìn)程狀態(tài)：

tester# ps -axf |grep pureftpd

95 ?? IsJ 0:00.92 pure-ftpd (SERVER) (pure-ftpd)

可以看到所有這些pure-ftpd的進(jìn)程都有一個J，標(biāo)志這這一程序正在jail下面運(yùn)行。

這時候可能會有一些管理用的程序無法正常工作，因為這些管理用程序無法找到他們需要訪問的那些文件，只要找到這些應(yīng)用程序需要調(diào)用的文件（比如日志文件）的位置，然后制造一個soft link就可以了，通常這些管理程序都可以繼續(xù)正常運(yùn)行。

到此為止，一個針對應(yīng)用程序的jail構(gòu)造完成。

第二類，構(gòu)造受控制的主機(jī)

在這種情況下面，我們首先需要構(gòu)造一個當(dāng)前版本操作系統(tǒng)的完整鏡像（下面這個腳本是從FreeBSD 4.6r的man page里面來的，實際上4.5以及之前的man page在構(gòu)造jail目錄樹腳本上面都有一定的問題，4.6才糾正過來）：

tester# cat >>/root/mkjail.sh

jailhome=/data/jail

cd /usr/src

mkdir -p $jailhome

make world DESTDIR=$jailhome

cd etc

make distribution DESTDIR=$jailhome -DNO_MAKEDEV_RUN

cd $jailhome/dev

sh MAKEDEV jail

cd $jailhome

ln -sf dev/null kernel

^D

tester# sh /root/mkjail.sh

最后在/data/jail下面獲得一個完整的根據(jù)當(dāng)前源碼樹編譯得來的jail目錄樹。

接下來：

/*

tester# mkdir $jailhome/stand

tester# cp /stand/sysinstall $jailhome/stand

tester# jail $jailhome jailed.system.box 192.168.0.123 /bin/csh

（這時候就獲得了一個jail下面的shell）

jailed# /stand/sysinstall

*/

通過sysinstall這個程序可以對jail系統(tǒng)的常用變量進(jìn)行設(shè)置，比如時區(qū)，DNS，Mail。還有jail系統(tǒng)在“啟動”的時候需要執(zhí)行的程序。

如果你足夠熟悉這個系統(tǒng)，可以考慮自己手工一個個的做過來。

復(fù)制/etc/localtime 到 $jailhome/etc，使jail環(huán)境下的應(yīng)用程序可以得到正確的時間；

復(fù)制/etc/resolv.conf 到 $jailhome/etc/resolv.conf 使jail下面可以正確解釋域名；

在jail里面運(yùn)行newaliases 避免sendmail的不斷抱怨；

如果打算運(yùn)行inetd，需要修改inetd的啟動參數(shù)，加上 -a $LISTEN_ADDR 選項（因為jail無法自己獲得當(dāng)前系統(tǒng)的ip地址，所以必須提供一個ip地址給它）在rc.conf里面看起來應(yīng)該是這樣：

inetd_flags="-wW -a 192.168.0.123"

將系統(tǒng)本身的syslogd 運(yùn)行加上 -ss 選項，避免這個syslog啟動****端口；修改/etc/rc.conf 加上 syslogd_flags="-ss" （對$jailhome/etc/rc.conf也如法炮制）

在jail內(nèi)創(chuàng)建一個空的/etc/fstab，在rc.conf里面去掉網(wǎng)卡地址的綁定，這樣在jail系統(tǒng)在啟動的時候不會抱怨。

為了實際運(yùn)行這個jail系統(tǒng)，還需要為jail提供一個可以連接的IP地址，這個地址可以與實際環(huán)境同一個子網(wǎng)，也可以處于另外一個子網(wǎng)中。

tester# ifconfig fxp0 192.168.0.123 netmask 0xffffffff alias

（這里為網(wǎng)卡fxp0綁定了一個別名，準(zhǔn)備提供服務(wù)。）

所有這些東西都執(zhí)行完了以后，可以有幾個方法把jail系統(tǒng)啟動起來，一個是在jail外面運(yùn)行

tester# jail $jailhome jailed.system.box $jail_IP_ADDR /bin/sh $jailhome/etc/rc

一個是單純把ssh/telnetd這樣一些提供遠(yuǎn)程訪問的服務(wù)在jail內(nèi)啟動起來：

tester# jail $jailhome jailed.system.box $jail_IP_ADDR /bin/sh $jailhome/bin/inetd -wW -a $jail_IP_ADDR

然后從外面登錄系統(tǒng)，運(yùn)行、配置jail系統(tǒng)環(huán)境，或者手工啟動需要的應(yīng)用服務(wù)。

如果打算運(yùn)行一個用于生產(chǎn)環(huán)境的jail系統(tǒng)的話，推薦使用第一種方法，并且把啟動jail的命令放到（實際環(huán)境的）/etc/rc.local腳本里面去，這樣jail系統(tǒng)可以有比較完備，與實際機(jī)器相類似的環(huán)境。

這樣一個jail系統(tǒng)就算構(gòu)造完成并且可以正常運(yùn)作，加上在實際環(huán)境里面定期的嚴(yán)格的備份，安全檢查與審計，就可以得到一個很不錯的安全系統(tǒng)。一般的scriptkids已經(jīng)無法對你的系統(tǒng)構(gòu)成實際威脅，即使是某些與黑帽子走得很近的人在漏洞公開之前得到實際的攻擊腳本，并且進(jìn)入你的系統(tǒng)，他也只能在jail里面活動，而且你可以知道他什么時候進(jìn)入和離開系統(tǒng)，做了什么。這樣你可以很輕松的恢復(fù)系統(tǒng)和防范下一次未知的攻擊。

在jail系統(tǒng)的管理上面有幾個問題需要注意：

1. jail里面的帳號、密碼是跟實際系統(tǒng)不同的，但是在jail之外ps或者查看jail目錄樹內(nèi)的文件時，那些jail內(nèi)部的uid會被看成外部的uid，因此最好把jail里面的/etc/adduser.conf進(jìn)行修改，把他們的uid起始號碼放大，比如：uid_start="5000"，這樣當(dāng)你在jail外部進(jìn)行文件、進(jìn)程管理的時候不至于誤會文件或者進(jìn)程的宿主。

2. jail內(nèi)的任何活動，其能力都受到了限制。比如top/vmstat這樣的東西都不能使用，mknod,dd等等這樣需要訪問直接硬件的東西也無法工作。所以在jail內(nèi)監(jiān)控系統(tǒng)運(yùn)行狀態(tài)也比較難。

3. 當(dāng)想要遠(yuǎn)程關(guān)閉jail系統(tǒng)的時候，可以有兩種方法，一是進(jìn)入jail之后kill -TERM -1 或者 kill -KILL -1 ，這樣向所有該jail內(nèi)的進(jìn)程發(fā)送SIGTERM或者SIGKILL信號，也可以在jail里面運(yùn)行/etc/rc.shutdown來關(guān)閉jail。如果是本地想要關(guān)閉jail倒是簡單，只要把所有帶有J標(biāo)記的進(jìn)程干掉就可以了。

4. 一個系統(tǒng)可以運(yùn)行多個jail，各個jail之間無法互相干涉，如果在jail外面使用

tester# jail $jailhome jailed.system.box $jail_IP_ADDR /path/to/application

這種方式運(yùn)行某個應(yīng)用程序，下一次試圖通過運(yùn)行

tester# jail $jailhome jailed.system.box $jail_IP_ADDR /bin/csh

這種方式獲得的jail過的shell來管理該應(yīng)用程序?qū)　Ｒ驗檫@時是兩個各自獨立的jail，互相不能干涉。為了能對jail系統(tǒng)內(nèi)進(jìn)程靈活地進(jìn)行管理，推薦在jail里面除開應(yīng)用軟件之外，再啟動telnetd或者sshd之類的服務(wù)，這些服務(wù)此時與應(yīng)用程序運(yùn)行在同一個jail里面，就可以通過遠(yuǎn)程登入系統(tǒng)后獲得與那些應(yīng)用程序在同一個jail內(nèi)的shell。

5. jail系統(tǒng)內(nèi)的所有應(yīng)用軟件版本號應(yīng)該與外部實際系統(tǒng)保持一致。當(dāng)外部系統(tǒng)的源碼同步到某個版本并且重新做過make world之后，推薦也重新生成一次jail，以避免某些可能的莫名其妙的錯誤。

6. 另外有一個做法不知道是否正確，在jail里面每次使用ps的時候，系統(tǒng)都會報告沒有/var/run/dev.db文件，讓人感覺很不舒服，復(fù)制實際系統(tǒng)的/var/run/dev.db 到 $jailhome/var/run/ ，就不會再碰到這個問題。

標(biāo)簽：晉中張家界烏蘭察布梧州達(dá)州信陽廣元德陽

巨人網(wǎng)絡(luò)通訊聲明：本文標(biāo)題《freebsd下jail命令說明》，本文關(guān)鍵詞 freebsd,下,jail,命令,說明,；如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題，煩請?zhí)峁┫嚓P(guān)信息告之我們，我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò)，涉及言論、版權(quán)與本站無關(guān)。