Copierea fișierelor de sistem
După ce plasați în fișierele de server subramificație chroot, ar trebui să copiați subarborele director în unele fișiere de sistem. Pentru operarea serverelor de multe ori necesită următoarele tipuri de fișiere.
• Biblioteci. În timpul funcționării, mai multe servere folosesc biblioteci dinamice. De obicei, acestea sunt stocate în / lib sau / usr / lib. Aflați ce biblioteca are nevoie de un anumit server, permite programului LDD. De exemplu, pentru a determina ce biblioteca utilizează serverul de nume, executați următoarea comandă LDD / usr / sbin / nume. Fișierele bibliotecă ar trebui să fie plasate în directorul chroot subramificație.
• Suport pentru program. Pentru a opera unele servere necesită software suplimentar. De exemplu, în cazul în care web-server suporta CGI-script-uri, acesta poate avea nevoie de un interpret Perl (/ usr / bin / perl) și fișiere pentru a se asigura că activitatea interpretului. fișier executabil Perl, și fișiere suplimentare trebuie să fie copiate în directorul corespunzător chroot subramificație. În plus, programele necesare pentru funcționarea serverului, poate, la rândul său, utilizați fișierele bibliotecă. În unele cazuri, cantitatea de date utilizate pentru a sprijini limbaje de scripting este mult mai mare decât volumul de web-server.
• Fișierele dispozitiv. Mai multe tipuri de servere accesează direct dispozitivele de fișiere. De exemplu, serverul de backup comunică cu unitatea de bandă, iar unele biblioteci și programe au nevoie de fișiere dispozitiv speciale, cum ar fi / dev / zero și / dev / null. De obicei, fișierele dispozitiv sunt localizate în directorul / dev. Copiați fișierele din acest director este lipsită de sens, dar în schimb este necesar să se re-crea-le în subarborele folosind mknod. Comanda corespunzătoare ar putea arata astfel: mknod / opt / chroot / dev / st0 de la 9 la 0. Fișierele dispozitiv oferă acces la resurse informatice, astfel încât să le creați în chroot subramificație ar trebui să fie numai în cazul în care acestea sunt cu adevărat necesare.
• sisteme de fișiere speciale. Uneori, serverele folosesc sisteme de fișiere specifice sau instrumente pentru a lucra cu astfel de sisteme de fișiere. De exemplu, unele servere se referă la / proc. Aceste directoare nu pot fi copiate în mod direct. În schimb, ar trebui să creați o intrare suplimentară în fișierul / etc / fstab și monta sistemul de fișiere în chroot subramificație. Original / proc nu poate fi eliminat, este necesar să se dubleze. Trebuie amintit faptul că prezența accesului la server de atacator / proc pentru a oferi automat oportunități suplimentare pentru controlul asupra sistemului.
• Baze de date cu informații despre utilizatori. În timpul funcționării, un număr de servere se referă la / etc / passwd. / Etc / grup. / Etc / umbra, și alte fișiere care conțin informații despre utilizatori. Servere care utilizează Conectabile de autentificare Modul, memoria RAM necesară a infrastructurii, în special dosar, /etc/pam.conf. /etc/pam.d conținutul și / etc / securitate. precum și biblioteci în fișiere / lib și / lib / securitate (în numele fișierului de bibliotecă conține caractere pam). Pentru a determina ce fișiere trebuie să fie copiate în subarbore directorul chroot. este necesar să se analizeze conținutul pachetului de memorie RAM.
• Jurnal fișiere. Dacă serverul creează în timpul fișierele jurnal, trebuie să se pregătească cataloage pentru plasarea lor. Unele servere folosesc la crearea de fișiere de protocol daemon syslogd. În acest caz, trebuie să copiați programul în chroot subramificație. Multe servere pot fi configurate astfel încât exploatarea forestieră a fost efectuată fără a utiliza syslogd.
Pentru servere, auto care cauzează chroot () funcția. de obicei, trebuie să copiați directoare subarborelui în fișiere mult mai mici decât cele pentru servere ce ruleaza cu ajutorul programului chroot. Dacă serverul solicită chroot (). înainte de a apela această funcție, se încarcă de obicei biblioteci, fișiere de sistem, iar restul are nevoie de date.
Nu este de a crea un sistem de risc de securitate sunt plasate în doar chroot directoarele subarborelui un set minim de fișiere. Copiați fișierul ar trebui să fie numai în caz, dacă știți sigur că acest fișier este utilizat în timpul funcționării serverului. În ceea ce privește restul fișierelor, pentru a afla dacă acestea sunt necesare, puteți rula serverul de executare (dacă se furnizează serverul în modul de depanare, este de dorit să-l includă). Dacă serverul îi lipsește orice fișier, acesta va raporta acest lucru.
Ponderea pe pagina