The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Базовые принципы помещения сервисов в chroot окружение

27.12.2005 23:49

В статье даются общие рекомендации по созданию chroot окружений под Linux, приводится пример изолирования Apache 1.3.x + PHP 5 с учетом взаимодействия с MySQL.

  1. Главная ссылка к новости (http://slackware.tomsk.ru/docs...)
  2. Копия статьи на opennet
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/6710-security
Ключевые слова: security, chroot, apache
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (17) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Michael Shigorin (?), 11:22, 28/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Технически статья во многом грамотная если абстрагироваться , но вот художеств... большой текст свёрнут, показать
     
     
  • 2.5, PavelVice (ok), 14:26, 28/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Солидарен. Единственное хотелось что бы код vserver включили в ядро и не было гимора с патчами(мне просто их нужно наложить очень много и иногда они конфликтуют ). А так респект.
     
     
  • 3.10, Michael Shigorin (?), 17:07, 28/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Солидарен. Единственное хотелось что бы код vserver включили в ядро и не
    >было гимора с патчами(мне просто их нужно наложить очень много и
    >иногда они конфликтуют ). А так респект.
    Может иметь смысл подобрать дистр, где оно есть и в приличном виде.  В том же альте количество полезных патчей благодаря просто золотому майнтейнеру Sergey Vlasov достаточно велико и главное -- результат настолько работоспособен, что свои ядра нет смысла собирать уже много лет: лучше просто не выйдет.

    Собсно вот такая страничка когда-то на эту тему образовалась: http://wiki.sisyphus.ru/admin/KernelBuild

    А так -- да, конечно.

     
     
  • 4.14, Павел Соколов (?), 14:40, 29/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Может иметь смысл подобрать дистр, где оно есть и в приличном виде.  
    Согласен. Давно уже так поступил, но я говорю про то что иногда невозможно наложить все патчи сразу. Например я хочу vserver, evms и есче много чего сразу. Бесит то что некоторые полезные весчи никак не хотят включать в ядро.
    >свои ядра нет смысла собирать уже много лет: лучше просто не выйдет.
    Уже давно этим не страдаю.
     
     
  • 5.17, Michael Shigorin (?), 20:35, 29/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>Может иметь смысл подобрать дистр, где оно есть и в приличном виде.  
    >Согласен. Давно уже так поступил, но я говорю про то что иногда
    >невозможно наложить все патчи сразу. Например я хочу vserver, evms и
    >есче много чего сразу.
    А что ещё?  Список дополнений в ядре vs-smp из ALM2.4 -- см. 'rpm -qip ftp://ftp.altlinux.org/pub/distributions/ALTLinux/updates/Master/2.4/SRPMS.u
    (насколько помню, evms тогда был в пакете, но не собирался; использую с lvm1).

    EVMS2 и VS2 есть здесь: http://alt.linux.kiev.ua/srpm/kernel-image-vs26-smp/
    -- но конкретно vs26-smp из unstable сам не пробовал и потому рекомендовать не могу (как и использование unstable для организации хост-системы).  В обычных std26-smp он целиком живой, такая раскладка живёт в appliances (включая корень).

     
  • 2.7, Den aka Diesel (?), 16:29, 28/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо за конструктивную критику.

    >2. как один из практических примеров, почему именно -- хотелось бы видеть
    >скрипты и шаги, которые предлагается предпринять при обнаружении очередной дырки в
    >запиханных при помощи cp(1) бинарниках.

    Обновить "материнскую" систему (swaret'ом или slapt-get'ом, не важно), запустить скрипт обновления конкретного chrooted environment. Я, по крайней мере, так делаю.

    >4. не менее оригинально звучит упоминание про jail и vserver и на
    >этом фоне неожиданный финт -- мол, vserver -- это тяжело.  
    >Грязные инсинуации :), как раз этот вариант очень лёгок и по
    >накладным расходам практически не отличается от chroot с тем же apache,
    >поскольку и есть чрут с дополнительным барьером.  И ставить его
    >в один ряд с vmware, не удосужившись посмотреть -- не стоило.

    Каюсь, лишь почитал документацию по vserver. Для тех дистрибутивов, где его поддержка есть из коробки, хороший метод.

     
     
  • 3.8, Michael Shigorin (?), 17:02, 28/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Спасибо за конструктивную критику.
    Фух :)

    >>2. как один из практических примеров, почему именно -- хотелось бы видеть
    >>скрипты и шаги, которые предлагается предпринять при обнаружении очередной дырки в
    >>запиханных при помощи cp(1) бинарниках.
    >Обновить "материнскую" систему (swaret'ом или slapt-get'ом, не важно), запустить скрипт обновления конкретного
    >chrooted environment. Я, по крайней мере, так делаю.
    Получаем оверхед вида "на каждый чрут надо рисовать и, возможно, поддерживать скрипт".
    Вообще-то в ALT (и опять же, полагаю, в Owl) есть утилитка update_chrooted и к штатным образом зачрученным сервисам такие скрипты прилагаются.  Но это как раз достаточно сделать один раз на сервис в силу того, что они обладают предсказуемой конфигурацией, в отличие от довольно сложной связки apache+php+mysql.

    >Каюсь, лишь почитал документацию по vserver. Для тех дистрибутивов, где его поддержка
    >есть из коробки, хороший метод.
    А посмотрите.  Можно и из коробки ;-)

    Меня vserver другим просто срубил -- это ж получаются "контейнеры", "чемоданчики" с фиксированным API в виде набора портов на "сером" IP.  Их между системами таскать можно элементарно, при этом нет особой зависимости от того, какая пара получается (у знакомых на хостинге так года два тому зоопарк жил под альтом).  То есть долговременные риски снижаются и их стоимость -- тоже.

    PS: почему так резко про Slackware?  Представьте, что завтра Вам этот сервер стал неинтересен (или вдруг болезнь -- все мы люди, все не железные) и его поддерживать кому-то другому.  Слакварь, конечно, можно из чего угодно сделать, но до сих пор видел только два вида клинических случаев, разобраться в переплетениях которых невозможно за конечное время -- это "сделано на слаквари" и "сделано на генту".

    Провоцируют они на макароны не меньше, чем C -- на статические буферы :-(

     
     
  • 4.11, Den aka Diesel (?), 18:16, 28/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Получаем оверхед вида "на каждый чрут надо рисовать и, возможно, поддерживать скрипт".
    >
    >Вообще-то в ALT (и опять же, полагаю, в Owl) есть утилитка update_chrooted
    >и к штатным образом зачрученным сервисам такие скрипты прилагаются.  Но
    >это как раз достаточно сделать один раз на сервис в силу
    >того, что они обладают предсказуемой конфигурацией, в отличие от довольно сложной
    >связки apache+php+mysql.

    Кто-то же эти самые скрипты делает, не боги горшки обжигают.

    >А посмотрите.  Можно и из коробки ;-)

    Как будет время - на тестовом сервере посмотрю.

    >PS: почему так резко про Slackware?  Представьте, что завтра Вам этот
    >сервер стал неинтересен (или вдруг болезнь -- все мы люди, все
    >не железные) и его поддерживать кому-то другому.  Слакварь, конечно, можно
    >из чего угодно сделать, но до сих пор видел только два
    >вида клинических случаев, разобраться в переплетениях которых невозможно за конечное время
    >-- это "сделано на слаквари" и "сделано на генту".
    >
    >Провоцируют они на макароны не меньше, чем C -- на статические буферы
    >:-(

    Слакварь в данном случае вовсе не принципиально важная деталь. Но раз уж вызывает вопросы и претензии, отвечу.
    Помойку можно сделать из любой системы, так же как и конфетку - это вопрос подхода и опыта. Я придерживаюсь slackware-way в хорошем смысле - недостающий софт собираю в slackware-пакеты, которые потом аккуратно апгрейдятся или удаляются без последствий, для этого достаточно писать SlackBuild скрипты для сборки, благо примеров в самом дистрибутиве масса. Плюс поддерживаю документацию на каждый сервер в актуальном состоянии - всегда можно посмотреть, что установлено и как сконфигурировано. Опыт успешной передачи продакшн-сервера под Slackware другому администратору у меня уже есть...
    Я не агитирую всех использовать Slackware, лично для меня это дело привычки - я эту систему знаю намного лучше аналогов и мне она нравится своей прозрачностью.

     
     
  • 5.12, Michael Shigorin (?), 18:20, 28/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>и к штатным образом зачрученным сервисам такие скрипты прилагаются.  Но
    >>это как раз достаточно сделать один раз на сервис в силу
    >>того, что они обладают предсказуемой конфигурацией, в отличие от довольно сложной
    >Кто-то же эти самые скрипты делает, не боги горшки обжигают.
    Да, но они не являются уникальными.  В том-то и соль.

    >Слакварь в данном случае вовсе не принципиально важная деталь. Но раз уж
    >вызывает вопросы и претензии, отвечу.
    Какие тут претензии.  У меня есть даже два знакомых _опытных_ слаквариста, по крайней мере один из которых именно пакетами и орудует ;-)  Вот только большинство виденных как наслушаются "./c; m; m i" -- так потом такие ужастики выходят, что хоть до полуночи не показывай.

    >Помойку можно сделать из любой системы, так же как и конфетку -
    >это вопрос подхода и опыта.
    С этим давно согласен.

    Спасибо, приятно пообщаться.

     

  • 1.2, qwerty (??), 11:45, 28/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А для FreeBSD есть нечто подобное? нужно на одной тачке иметь несколько виртуальных серверов, может ткнете в русскоязычные источники инфы? буду премного благодарен ответившим!
     
     
  • 2.3, drew (??), 11:57, 28/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >А для FreeBSD есть нечто подобное? нужно на одной тачке иметь несколько
    >виртуальных серверов, может ткнете в русскоязычные источники инфы? буду премного благодарен
    >ответившим!

    man jail

     
  • 2.4, jurij (??), 13:53, 28/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    neploho poluchaetsja  pod Solaris 10
    daze Oracrl rabotaet
     

  • 1.6, CR (?), 16:16, 28/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если уж говорить о vmware и прочих "виртуализациях", надо упомянуть user mode linux.
     
     
  • 2.9, Michael Shigorin (?), 17:03, 28/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Если уж говорить о vmware и прочих "виртуализациях", надо упомянуть user mode
    >linux.
    Тоже да, но оно сильно (хоть и не полностью) потеряло в актуальности с появлением vserver.

    Опять же по весу это ближе к vserver, чем к vmware, насколько могу судить.

     

  • 1.13, Дмитрий Ю. Карпов (?), 13:52, 29/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне реально не понравилось отсутствие ссылок на документы, которые автор предлагает читать - например, "не буду развивать эту тему - она достаточно хорошо освещена на соотвествующих тематических сайтах", а списка сайтов (желательно со ссылками на статьи) нет.
     
     
  • 2.15, Den aka Diesel (?), 15:54, 29/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Я не одобряю деятельность сайтов, занимающихся освещением вопросов эксплуатации уязвимостей, поэтому не хочу им делать лишнюю рекламу. Изначально я предполагал, что подобные ресурсы известны каждому, кто интересуется вопросами безопасности.
     

  • 1.16, krz (??), 19:02, 29/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кажись нашёл то что надо
    Спасибо тебе автор!!!
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру