PLD-doc/queue/sys-chroot.txt

Sat Feb 11 17:18:02 CET 2006

Author: qwiat
Date: Sat Feb 11 17:17:56 2006
New Revision: 6967

Added:
   PLD-doc/queue/sys-chroot.txt
Log:
- nowy rozdzial


Added: PLD-doc/queue/sys-chroot.txt
==============================================================================

--- (empty file)
+++ PLD-doc/queue/sys-chroot.txt	Sat Feb 11 17:17:56 2006
@@ -0,0 +1,132 @@
+PLD SYS-CHROOT
+==============
+
+
+WstÄ™p
+-----
+Jednym z bardziej niezawodnych metod zabezpieczania serwerĂłw jest umieszczanie
+usĹ‚ug sieciowych w autonomicznych Ĺ›rodowiskach typu chroot. PodstawowÄ
 ich
+cechÄ
 jest Ĺ‚atwoĹ›Ä‡ tworzenia i stosunkowo dobry poziom bezpieczeĹ„stwa.
+PLD uĹ‚atwia obsĹ‚ugÄ™ Ĺ›rodowisk chroot dziÄ™ki mechanizmowi sys-chroot. W naszych
+przykĹ‚adach zainstalujemy w "klatce" serwer Apache. 
+
+Mechanizm chroot w niektĂłrych sytuacjach nie oferujÄ
 wystarczajÄ
cego
+poziomu izolacji, a co za tym idzie bezpieczeĹ„stwa. Osobom szukajÄ
cym
+bardziej wyrafinowanych rozwiÄ
zaĹ„ moĹźna poleciÄ‡ Linux-VServer
+(http://linux-vserver.org/) ktĂłrego konfiguracjÄ™ dla PLD opisano w tutaj:
+http://pld-linux.org/Vserver.
+
+
+BezpieczeĹ„stwo
+--------------
+
+W zaleĹźnoĹ›ci od budowy takiego Ĺ›rodowiska moĹźemy je podzieliÄ‡ na
+dwie zasadnicze grupy: klatki peĹ‚ne i Ĺ›cisĹ‚e. Pierwsze sÄ

+kompletnymi systemami z niewielkimi zmianami dokonanymi po
+instalacji, zaĹ› drugie sÄ
 precyzyjnie przygotowanymi Ĺ›rodowiskami,
+ktĂłre skĹ‚adajÄ
 siÄ™ jedynie z koniecznych do pracy elementĂłw:
+biblioteki, programy itp.
+
+Pierwsze rozwiÄ
zanie jest bardziej elastyczne i wygodne, gdyĹź umoĹźliwia
+Ĺ‚atwÄ
 aktualizacjÄ™, co niekiedy jest bardzo waĹźnÄ
 cechÄ
. ĹšcisĹ‚e klatki sÄ

+bezpieczniejsze, jednak jakakolwiek aktualizacja jest zĹ‚oĹźona i sprowadza
+siÄ™ na dobrÄ
 sprawÄ™ do tworzenia od poczÄ
tku caĹ‚ego Ĺ›rodowiska.
+
+Mechanizm sys-chroot jest przystosowany do pierwszego z rozwiÄ
zaĹ„, wymaga
+kompletu rc-skrytĂłw, powĹ‚oki i kilku programĂłw do pracy, dziÄ™ki czemu
+otrzymujemy bardzo wygodne narzÄ™dzie.
+
+
+Instalacja 
+----------
+Tworzymy katalog dla Ĺ›rodowiska:
+# mkdir -p /chr-apache
+Tworzymy bazÄ™ pakietĂłw RPM:
+# rpm --root /chr-apache --initdb
+Instalujemy docelowy pakiet:
+# poldek --root=/chr-apache -i apache
+PowyĹźsze polecenie zainstaluje wszystkie wymagane pakiety wymagane przez
+serwer SSH.
+
+
+Konfiguracja
+------------
+
+Musimy jeszcze przygotowaÄ‡ system wewnÄ™trzny np. dodaÄ‡ uĹźytkownikĂłw:
+chroot /chr-apache useradd -m jkowalski
+chroot /chr-apache passwd jkowalski
+
+Na poczÄ
tek dodajemy Ĺ›cieĹźkÄ™ naszej klatki do zmiennej SYSTEM_CHROOTS w pliku
+/etc/sysconfig/system , np.:
+SYSTEM_CHROOTS=/chr-apache
+
+NastÄ™pnie startujemy podsystem klatek
+# service sys-chroot start
+
+Nasz chroot juĹź dziaĹ‚a powinien juĹź dziaĹ‚aÄ‡, teraz musimy go
+dodatkowo zabezpieczyÄ‡.
+
+
+"Utwardzanie" klatki
+--------------------
+
+W Ĺ›rodowisku chroot nie powinny siÄ™ znaleĹşÄ‡ Ĺźadne elementy ktĂłre
+mogĹ‚y by umoĹźliwiÄ‡ ucieczkÄ™ z klatki nawet po uzyskaniu
+praw root-a. 
+
+Bardzo niebezpieczne jest posiadanie kompletu urzÄ
dzeĹ„ w katalogu /dev,
+musimy pozostawiÄ‡ jedynie urzÄ
dzenia konieczne do pracy danej uslugi. KaĹźda
+usĹ‚uga ma inne wymagania pod tym wzglÄ™dem, jednak jest kilka najczÄ™Ĺ›ciej
+uĹźywanych plikĂłw, oto ich lista:
+/dev/zero
+/dev/null
+/dev/random
+/dev/urandom
+katalogu /dev/pts
+
+NastÄ™pnie usuwany niebezpieczne narzÄ™dzia:
+/bin/mknod
+/usr/sbin/chroot
+
+
+/etc/fstab - plik ten dla chroota moĹźe byÄ‡ znacznie ograniczony, w
+wiÄ™kszoĹ›ci wypadkĂłw konieczne jest tylko podmontowanie /proc. Systemy plikĂłw
+powinny byÄ‡ montowane z zewnÄ
trz tak by nie byĹ‚o potrzeby umieszczania /dev
+Ĺźadnych urzÄ
dzeĹ„ zwiÄ
zanych z partycjami. Sprawa siÄ™ komplikuje jeĹ›li mamy
+uĹźywaÄ‡ quoty, niestety wtedy musimy umieĹ›ciÄ‡ odpowiedni plik w /dev/ i
+dokonaÄ‡ wpisu do /etc/fstab
+
+Musimy jeszcze zadecydowaÄ‡ o sposobie zarzÄ
dzania pakietami,
+ktĂłre zostaĹ‚o opisane dalej.
+
+
+ZarzÄ
dzanie pakietami
+---------------------
+
+Mamy moĹźliwoĹ›Ä‡ zarzÄ
dzania pakietami z chroota lub z systemu "gospodarza".
+Pierwsze rozwiÄ
zanie uĹ‚atwia przenoĹ›noĹ›Ä‡ i niezaleĹźnoĹ›Ä‡ klatki, drugie zaĹ›
+zwiÄ™ksza bezpieczeĹ„stwo i wydaje siÄ™ byÄ‡ bardziej eleganckie.
+
+Pierwsze rozwiÄ
zanie wymaga instalacji poldka w klatce:
+# poldek --root=/chr-apache -i poldek
+od tej pory bÄ™dziemy nastÄ™pujÄ
co zarzÄ
dzaÄ‡ pakietami:
+# chroot /chr-apache poldek
+
+W drugim wypadku jedynie kopiujemy z gĹ‚Ăłwnego systemu plik /etc/sysconfig/rpm.
+Poldka bÄ™dziemy wywoĹ‚ywaÄ‡ nastÄ™pujÄ
co:
+# poldek --root=/chr-apache
+
+
+Uwagi
+-----
+
+- Bind domyĹ›lnie pracuje chroocie w katalogu /var/lib/named, dlatego nie
+musimy sie o niego martwiÄ‡.
+- syslog moĹźe pracowaÄ‡ na zewnÄ
trz, bez problemu bÄ™dzie zbieraĹ‚ komunikaty z
+usĹ‚ug w klatkach (o ile dana usĹ‚uga korzysta z syslog-a).
+- cron - musimy zadecydowaÄ‡ czy kaĹźda klatka ma mieÄ‡ wĹ‚asnego demona
+zegarowego czy ma pracowaÄ‡ jeden wspĂłlny. Jeden demon bÄ™dzie zuĹźywaĹ‚ mniej
+zasobĂłw, oraz zarzÄ
dzanie nim bÄ™dzie Ĺ‚atwiejsze, jednak musimy
+zmodyfikowaÄ‡ wszystkie wywoĹ‚ania crona z klatek np. dotyczÄ
ce logrotate.
+
+
