Phenquestions
Нажалост, чак и након предузимања кључних безбедносних мера, безбедносне рањивости и даље проналазе пут до сигурних система. Један од начина управљања и заштите вашег система је ограничавањем могуће штете након напада.
У овом упутству ћемо размотрити поступак употребе цхроот затвора за управљање оштећењима система у случају напада. Погледаћемо како изоловати процесе и потпроцесе у одређено окружење са лажним роот привилегијама. Ово ће ограничити поступак на одређени директоријум и ускратити приступ другим системским областима.
Кратки увод у цхроот затвор
Цхроот затвор је метода изоловања процеса и њиховог потпроцеса из главног система користећи лажне роот привилегије.
Као што је поменуто, изоловање одређеног процеса коришћењем лажних роот привилегија ограничава штету у случају злонамерног напада. Цхроотед услуге ограничене су на директоријуме и датотеке у њиховим директоријумима и нису трајне након поновног покретања услуге.
Зашто користити цхроот затвор
Главна сврха цхроот затвора је мера безбедности. Цхроот је такође користан када опоравља изгубљене лозинке постављањем уређаја са живих медија.
Постоје разне предности и недостаци постављања Цхроот затвора. Ови укључују:
Предности
- Ограничава приступ: У случају угрожавања сигурности, једини оштећени директоријуми су они који се налазе у цхроот затвору.
- Ограничења наредби: Корисници или процеси се ограничавају на наредбе дозвољене у затвору.
Мане
- Постављање може бити изазовно.
- Потребно је пуно посла - Ако вам је потребна додатна наредба од оне која је дозвољена подразумевано, морате је укључити ручно.
Како створити основни Цхроот затвор
У овом процесу ћемо створити основни цхроот затвор са 3 команде ограничене на ту фасциклу. Ово ће вам помоћи да илуструјете како се прави затвор и додељују разне команде.
Почните са стварањем главне фасцикле. Ову фасциклу можете сматрати директоријумом / у главном систему. Име фасцикле може бити било које. У нашем случају то зовемо / цхроотјаил
судо мкдир / цхроотјаилКористићемо овај директоријум као лажни корен који садржи наредбе које ћемо му доделити. Уз наредбе које ћемо користити, биће нам потребан бин директоријум (садржи извршне датотеке наредби) и итд., директоријум (садржи конфигурационе датотеке за наредбе).
Унутар директоријума / цхроотјаил креирајте ове две фасцикле:
судо мкдир / цхроотјаил / итд, бин
Следећи корак је стварање директорија за динамички повезане библиотеке за наредбе које желимо да уврстимо у затвор. За овај пример користићемо команде басх, лс и греп.
Помоћу команде лдд наведите зависности ових наредби, као што је приказано доле:
судо лдд / бин / басх / бин / лс / бин / греп
Ако се не налазите у фолдеру за смеће, потребно је да прођете целу путању за наредбе које желите да користите. На пример, лдд / бин / басх или лдд / бин / греп
Из горњег излаза лдд требају нам директорији либ64 и / либ / к86_64-линук-гну. Унутар затворског директоријума креирајте ове фасцикле.
судо мкдир -п / цхроотјаил либ / к86_64-линук-гну, либ64Једном када креирамо динамичке директоријуме библиотека, можемо их навести помоћу стабла, као што је приказано доле:
Како напредујемо, почећете да добијате јасну слику о томе шта значи цхроот затвор.
Стварамо окружење слично нормалном основном директоријуму Линук система. Разлика је у томе што су у овом окружењу дозвољене само одређене команде и приступ је ограничен.
Сад кад смо креирали канту за смеће. итд., либ и либ64, можемо додати потребне датотеке у одговарајуће директоријуме.
Кренимо од бинарних датотека.
судо цп / бин / басх / цхроотјаил / бин && судо цп / бин / лс / цхроотјаил / бин && судо цп / бин / греп / цхроотјаил / бин
Копирајући бинарне датотеке за наредбе које су нам потребне, потребне су нам библиотеке за сваку наредбу. Помоћу команде лдд можете прегледати датотеке за копирање.
Почнимо са басх. За басх су нам потребне следеће библиотеке:
/ либ / к86_64-линук-гну / либтинфо.тако.6/ либ / к86_64-линук-гну / либдл.тако.2
/ либ / к86_64-линук-гну / либц.тако.6
/ либ64 / лд-линук-к86-64.тако.2
Уместо да копирамо све ове датотеке једну по једну, можемо користити једноставну петљу фор да бисмо копирали сваку библиотеку у свим библиотекама у / цхроотјаил / либ / к86_64-линук-гну
Поновимо овај поступак и за лс и за греп команду:
За команду лс:
За греп наредбу:
Даље, у директоријуму либ64 имамо једну заједничку библиотеку у свим бинарним датотекама. Једноставно га можемо копирати помоћу једноставне цп наредбе:
Даље, уредимо главну датотеку за пријаву на басх (која се налази у / етц / басх.басхрц у Дебиану) тако да можемо прилагодити басх упит по свом укусу. Коришћење једноставних команди ехо и тее као што је приказано:
судо ецхо 'ПС1 = "ЦХРООТЈАИЛ #"' | судо тее / цхроотјаил / етц / басх.басхрцКада завршимо све горе наведене кораке, можемо се пријавити у окружење затвора помоћу команде цхроот као што је приказано.
судо цхроот / цхроотјаил / бин / басхДобићете роот привилегије са упитом сличним онима креираним у горњој команди ецхо анд тее.
Једном када се пријавите, видећете да имате приступ командама које сте укључили када сте креирали затвор. Ако вам је потребно више наредби, морате их додати ручно.
БЕЛЕШКА: Пошто сте укључили басх љуску, имат ћете приступ свим басх уграђеним наредбама. То вам омогућава да изађете из затвора помоћу команде екит.
Закључак
Овај водич је покривао шта је цхроот затвор и како га можемо користити за стварање изолованог окружења од главног система. Технике о којима се расправља у водичу можете да користите за стварање изолованих окружења за критичне услуге.
Да бисте вежбали оно што сте научили, покушајте да направите затвор апацхе2.
НАГОВЕСТИТИ: Почните тако што ћете креирати основни директоријум, додајте конфигурационе датотеке (етц / апацхе2), додајте корен документа (/ вар / ввв / хтмл), додајте бинарни (/ уср / сбин / апацхе2) и на крају додајте потребне библиотеке (лдд / уср / сбин / апацхе2)
