1、何謂虛擬服務(wù)器系統(tǒng)
"虛擬系統(tǒng)"的意思是"假的系統(tǒng)",亦即當(dāng)一個(gè)使用者使用的是"虛擬系統(tǒng)"時(shí),他所看到的系統(tǒng)檔案及程式,并不是系統(tǒng)管理者所使用的檔案。
例如管理者鍵入"ls -al /usr/bin/ls"的命令時(shí),看到的檔案大小為32767 bytes,而其他使用者鍵入"ls -al /usr/bin/ls"的命令時(shí),看到的卻為65535 bytes,表示為兩個(gè)檔案的路徑雖然相同,但卻為不同的檔案。
2、虛擬系統(tǒng)的功能為何
(1) 避免其它使用者使用重要資料
若您不愿意讓使用者觀看或執(zhí)行某些檔案,那你可以使用虛擬系統(tǒng),讓使用者看不到特定的檔案,或是創(chuàng)造另一個(gè)與真正檔案內(nèi)容不同的檔案。
(2) 增加系統(tǒng)安全性
若您必須開放使用者登入機(jī)器,又害怕使用者利用系統(tǒng)內(nèi)部的漏洞取得額外的權(quán)限,破壞系統(tǒng)設(shè)定與竊取資料,使用虛擬系統(tǒng)將可以保護(hù)系統(tǒng)的資料與系統(tǒng)運(yùn)作,讓惡意的使用者只能做到有限的破壞。
3、如何以Solaris架設(shè)虛擬系統(tǒng)
其實(shí)所謂的"虛擬系統(tǒng)",主要是利用chroot(Change Root)來達(dá)成,亦即改變根目錄的位置,而使得系統(tǒng)對(duì)應(yīng)到一新的系統(tǒng)設(shè)定中。
要達(dá)到這個(gè)目的,大致上可分為兩種方法,一是修改程式碼,另外一個(gè)則是用系統(tǒng)本身的命令來達(dá)成。
在此我們并不打算詳細(xì)說明有關(guān)修改程式碼的部份如何做,簡(jiǎn)單的說,程式部份主要是利用chroot()這個(gè)C函式來改變根目錄的位置,較為麻煩的地方在於你可能要修改inetd程式或其它網(wǎng)路服務(wù)程式,當(dāng)然你也可以自己寫這些程式,不過不是每個(gè)管理者都對(duì)攢寫程式有興趣的。
但不論你采用哪一種方法,有一件事是都需要做的,那就是創(chuàng)造一個(gè)虛擬的系統(tǒng)環(huán)境。以下簡(jiǎn)單列出如何在"/vs"這個(gè)目錄下,創(chuàng)造一個(gè)新的系統(tǒng)環(huán)境,并且不修改程式來啟動(dòng)虛擬系統(tǒng)的服務(wù):
tar -cf /system.tar /var /usr /etc /dev /devices
將系統(tǒng)中的/var, /usr, /etc, /dev, /devices壓入system.tar這個(gè)檔。
tar -xf /system.tar /vs
將system.tar這個(gè)檔的資料解開放在/vs目錄下。
以上兩行指令便能系統(tǒng)的檔案到"/vs"目錄去,此時(shí)當(dāng)你下達(dá)"chroot /vs/usr/bin/sh"指令時(shí),將會(huì)得到和原本系統(tǒng)相似的環(huán)境。而在這樣的環(huán)境中,使用者不結(jié)束目前的shell(chroot後所得的的 shell)是無法藉由任何指令返回原來的系統(tǒng)的。
然而事實(shí)上你不需要全部的系統(tǒng)檔案到"虛擬系統(tǒng)"去,只要所需的檔案即可。至於什麼是所需的檔案,端看你安裝了哪些服務(wù)。底下所列為在"/vs"中創(chuàng)造FTP的"虛擬系統(tǒng)"做法:
(1)"虛擬系統(tǒng)"中的"/etc"目錄
創(chuàng)造"虛擬系統(tǒng)"中的"/etc"目錄,以放置密碼及設(shè)定檔。
mkdir /vs/etc
設(shè)定"虛擬系統(tǒng)"中的"/etc/inetd.conf"檔。
echo "ftp stream tcp nowait root /usr/sbin/in.ftpd
in.ftpd" > /vs/etc/inetd.conf
設(shè)定"虛擬系統(tǒng)"中的"/etc/passwd"檔。
echo "root:x:0:1:Super-User:/:/usr/bin/tcsh" > /vs/etc/passwd
echo "ftp:x:60:60:Anonymous Ftp:/:/dev/null" >> /vs/etc/passwd
設(shè)定"虛擬系統(tǒng)"中的"/etc/shadow"檔。
echo "root:NP:6445::::::" > /vs/etc/shadow
echo "ftp:NP:6445::::::" >> /vs/etc/shadow
(2) "虛擬系統(tǒng)"中的"/var"目錄
創(chuàng)造"虛擬系統(tǒng)"中的"/var"目錄,以放置系統(tǒng)記錄檔。
mkdir /vs/var
mkdir /vs/var/adm
(3) "虛擬系統(tǒng)"中的"/usr"目錄
創(chuàng)造"虛擬系統(tǒng)"中的"/var"目錄,以放置系統(tǒng)程式及程式庫(kù)。
mkdir /vs/usr
mkdir /vs/usr/bin
mkdir /vs/usr/sbin
mkdir /vs/usr/lib
從"/usr/lib"拷貝下列檔案至"/vs/usr/lib"
ld.so.1
libauth.so.1
libbsm.so.1
libc.so.1
libcmd.so.1
libcrypt_i.so.1
libdl.so.1
libgen.so.1
libmp.so.1
libmp.so.2
libnsl.so.1
libsocket.so.1
nss_files.so.1
從"/usr/bin"拷貝下列檔案至"/vs/usr/bin"
*ls
從"/usr/sbin"拷貝下列檔案至"/vs/usr/sbin"
*in.ftpd (FTP伺服器程式)
*inetd (Internet Super Daemon)
(4)"虛擬系統(tǒng)"中的"/dev"與"/devices"目錄
作"/dev"、"/devices"的tar檔。
tar -cf /dev.tar /dev /devices
將tar檔解至"/vs"目錄下。
tar -xf /dev.tar /vs
刪除tar檔
rm /dev.tar
(5)啟動(dòng)服務(wù)
chroot /vs /usr/sbin/inetd -s
此步驟須注意是否關(guān)閉原始系統(tǒng)中inetd.conf的ftp選項(xiàng),否則無法正常啟動(dòng)。
4、結(jié)語
有人或許會(huì)問,anonymous ftp本身就有做chroot的動(dòng)作,為何還要自己做一個(gè)虛擬系統(tǒng)呢? 事實(shí)上,F(xiàn)TP服務(wù)若有漏洞,入侵者可透過漏洞取得root權(quán)限,此時(shí)anonymous ftp的chroot未必會(huì)被執(zhí)行,若未執(zhí)行chroot,那整個(gè)系統(tǒng)就暴露在入侵者眼前,但若你做了虛擬系統(tǒng),將強(qiáng)制使用者連線時(shí)已在虛擬系統(tǒng)中,即使入侵者透過漏洞取得root權(quán)限,亦會(huì)被限制於虛擬系統(tǒng)中,將難以破壞原本的系統(tǒng),如此可將系統(tǒng)損害降低。
