巧設“監牢”保護Linux服務安全

■ 河南 郭建偉

編者按：為了增加Linux對Root權限的有效管控，利用Linux內核提供的Chroot機制，讓某個服務器軟件在限定的目錄中運行，為對應的服務設置“牢籠”，來更加有效的保護系統安全。

在Linux中，各種服務都是以Root權限來啟動的。這是因為相應的服務（例如Apache等）需要綁定特定的端口，才可以監聽連接請求。這就需要依靠Root權限才可以實現。

隨著針對緩沖區漏洞攻擊的頻繁出現，如果受到黑客攻擊的某個網絡服務存在安全漏洞，黑客就可以借此控制整個服務器，這對系統安全的危害是很大的。

為了避免出現這種情況，當前的服務器軟件一般采取了先以Root權限啟動，之后放棄Root權限，并以具有較低權限的賬戶運行服務。這樣即使黑客利用某服務的漏洞侵入系統，得到的也只能是較低的權限，對系統危害不是很大。

Chroot的保護原理分析

為了進一步提高安全性，防止黑客利用其他的系統漏洞來非法提升權限，可以使用Chroot機制，為對應的服務設置“牢籠”，來更加有效的保護系統安全。

這里所說的“牢籠”，其實指的是利用Linux內核提供的Chroot機制，讓某個服務器軟件在限定的目錄中運行，使其只能對該目錄以及子目錄中的數據進行操作，而無法看到之外的目錄（例如根目錄等），來最大限度的保護系統安全。即使黑客控制了該服務器軟件，對系統也不會造成大的損壞。對服務器軟件進行Chroot處理，需要將該軟件運行所需的全部程序，配置文件和庫文件安裝到Chroot目錄中，該Chroot目錄就會成為“監牢”。

在這里就以Apache和DHCP服務為例，來說明如何將其置于“牢籠”中安全運行。

讓DHCP在“監牢”中運行

如果在“牢籠”中運行DHCP服務，那么訪問者根本看不到Linux中真實的目錄。使用Chroot技術保護DHCP，一般需要先創建對應的目錄，并將守護進程的可執行文件DHCPD以及其所需的庫文件復制進來。

利用JAIL工具，可以輕松高效的創建Choot“牢籠”。首先將“jail_x.x.tar.gz”安裝包下載到某個位置，其中的“x.x”表示其版本號。然后運行“tar xzvf jail.tar.gz &&cd jail/src”“make”命令，來編譯和安裝jail。在這里將jail安裝到“/usr/local”目錄中。

在其中的“bin”目錄中提供了一些核心命令，“mk jailenv”命令用于創建“監牢”目錄，并且從真實的文件系統中復制基本的軟件環境。“addjailsw”命令的作用是從真實的文件系統中復制二進制可執行文件及其相關的庫文件、設備文件、輔助文件的資源。“addjailuser”命令用來創建chroot“監牢”中的賬戶。

對于DHCP服務來說，創建“牢籠”的步驟是先執行“service dhcpd stop”命令，停止DHCP服務，并執行“mk jailenv/var/chapad”命令，創建“牢籠”目錄。之后執行“addjailsw/var/chapad/-P/usr/sbin/dhcpd”命令，在“牢籠”目錄中添加dhcpd程序。

對于該命令出現的警告信息，用戶不必在意。因為JAIL會使用ldd功能來檢查DHCPD用到的庫文件。接下來執行以下命令：

mkdr -p/var/chapad/dhcp/etc

cp/etc/dhcpd.conf/root/chroot/dhcp/etc

mkdir -p/var/chapad/dhcp/var/dhcp

touch/var/chapad/dhcp/var/dhcp/dhcp.leases

將和DHCPD相關的文件復制到“監牢”目錄中。其中的“/etc/dhcpd.conf”文件是DHCPD的配置文件。執行“/var/chapad/usr/sbin/dhcpd”命令，來重新啟動DHCPD。之后執行“ps -ef |grep dhcpd”命令，可以看到DHCPD已經運行在上述“監牢”目錄中。

讓Apache在“監牢”中運行

Apache實際是安裝在“/usr/local/httpd”目錄中的，以Root用戶（或者同權限的賬戶）身份啟動，該Root權限的父進程會派生多個具有nobody的子進程。Apache的父進程會監聽TCP 80端口，并將外界的連接請求非配給某個子進程。子進程所處的目錄依然是“/usr/local/httpd”。

如果黑客對Apache的子進程攻擊生效，就會利用存在目錄權限設置上的漏洞，對“/usr/local/”等目錄甚至整個文件系統進行滲透攻擊。為了避免出現這種不利情況，可以利用Chroot機制，將Apache限定的“/usr/local/httpd”目錄中運行。這樣，Apache所能接觸的文件只能是該目錄及其子目錄中的文件，即將Apache進程權限限制在文件系統中的某個目錄中。

通過執行“service httpd stop”命令，可關閉Apache服務。執行“/usr/local/bin/mkjailenv/var/chapa”命令，可以針對“/var/chapa”目錄來創建“監牢”。接下來執行“/usr/local/bin/addjailsw/var/chapa”命令，可以將一些基本的命令（例如ls、cp）等添加到該“監牢”中。這里需要將Apache服務器軟件添加進來。

執行“addjailsw/var/chapa -P/usr/local/httpd/bin/httpd”命令，JAIL會自動調用LDD來檢查httpd用到的所有庫文件。LDD（Library Dependency Display，庫從屬關系顯示）的作用是顯示一個可執行程序必須使用的共享庫。執行“cp -a/usr/local/httpd//var/chapa/usr/local/”命令，將和Apache相關的文件復制到“/var/chapa”。對于其他一些需要的文件，可以使用同樣的方法，將其復制到上述“監牢”中。

僅僅有了“監牢”是不夠的，還必須在其中添加相關的賬戶。例如，Apache服務就需要httpd、nobody賬戶的支持。

執行“useradd -d/var/chapa -s/usr/local/bin/jail httpd”命令，在真實的系統中創建名為“httpd”的賬戶，其Home目錄為“/var/chapa”，所登錄的Shell是“jail”。執行“/usr/local/bin/addjailuser/var/chapa/usr/local/httpd//usr/sbin/httpd httpd”命令，在“/var/chapa”中創建httpd賬戶。

使用VI命令，對“/var/chapa/usr/local/conf/httpd.conf”文件進行編輯，將其中的“User nobody”修改為“User httpd”，將“Port 80”修改為“Port 8001”。因為只有Root權限才可以將端口綁定在低于1024的端口上。

執行“/usr/local/bin/addjailsw/var/chapa -P httpd "-k start -DSSL"” “/usr/local/bin/addjailsw/var/chapa -P httpd "-k$ARGV"”命令，將保證Apache完整運行的所有庫文件添加進來。執行“su -httpd &”命令，讓Apache在“監牢”中運行。

訪問Apache服務時，必須在網址后添加8001端口號。