Jail 命令在FreeBSD 4.0中首次出現。用於“監禁”進程以及其衍生的子進程。而且jail和FreeBSD本身的secure_level合並使用可以顯著限制(jail中的)root的能力。
假設某一個應用程序在系統內中運行,一段時間之後該應用程序被發現包含有致命的安全漏洞,如果在通常的系統中,這個應用程序可能已經在這個上面構成了漏洞,甚至cracker們已經成功地攻破這一應用並且成為root,控制了系統;但假如該應用程序放在jail內運行,即使cracker們已經攻破系統,也無法訪問到jail之外系統的其他部分。因為盡管應用程序可以在jail之中自由活動,但是無法獲得更多權限以及訪問在jail之外的任何資源。通過這一特性,在系統管理上面可以做到防范未知漏洞,避免這些潛在的漏洞對整個系統的安全構成威脅。
jail通常有兩類應用方向:
一、對應用程序的活動能力進行限制。
比如ftp服務器,DNS服務器,這樣一些東西,比如wu-ftpd,bind這樣一些隔三岔五就會爆出漏洞的“著名”軟件放到jail裡面會讓人更加放心。
二、受控制的主機。
某些時候,需要對外提供有shell的管理性訪問,比如作為某公司A,其合作單位B有某項目需要在A的機器上獲得shell乃至root權限,這就需要提供受控制的主機,用戶可以在jail裡面控制幾乎所有他需要的資源(除了jail不允許他訪問的部分)。
第一類應用並不是非常復雜,實際上這類應用實現方法相對簡單,只要在Linux下面玩過chroot就沒有什麼大問題;第二類應用則有很多有趣的特性,而jail最吸引人的部分也是這些很有趣的特性。
下面從最簡單的部分開始:
第一類:限制應用程序活動能力
首先按照通常習慣的方式安裝好你想要jail的應用程序,下面我們將會使用pure-ftpd(我不是很熟悉它,只不過順手拿過來而已,據說還算好用)作為例子。
這個ftpd的安裝位置,默認為:/usr/local/sbin;/usr/local/bin;在/etc下面還有一些相關的文件,整個結構感覺不是特別干淨,不過它運行需要的東西並不很多,包括 /usr/local/sbin/pure-ftpd , /etc/xxx /etc/xxxx 這樣一些文件。
接下來先用ldd看看/usr/local/sbin/pure-ftpd需要的那些運行庫:
tester# cd /usr/local/sbin
tester# ldd pure-ftpd
pure-ftpd:
libcrypt.so.2 => /usr/lib/libcrypt.so.2 (0x2807b000)
libpam.so.1 => /usr/lib/libpam.so.1 (0x28094000)
libc.so.4 => /usr/lib/libc.so.4 (0x2809d000)
這樣我們的工作任務清單上面就多出來這樣一些東西了: /usr/lib/......
使用ldd我們還可以獲得其他一些需要放入jail的程序的運行庫位置,信息搜集完成之後,我們開始建立jail目錄樹(這裡我們假定jail環境構造在/jail內,當然你也可以選擇你喜歡的位置):
tester# mkdir -p /jail/usr/{lib,libexec,local/sbin,local/bin,local/etc,etc,var/run,var/log}
然後將上面列出的,libcrypt.so.2 等這些文件都復制到對應位置。當然還有我們FreeBSD下非常重要的一個文件ld-elf.so.1,盡管ldd沒有給出提示,也還需要復制過去,否則應用程序也跑不起來。這樣我們就獲得了一個很干淨(最小化)的應用程序運行環境jail命令的格式是:
jail path hostname ip-number command
下面開始在jail裡面運行它:
tester# jail /jail jailed.host.name $JAILED_IP_ADDR /usr/local/sbin/pure-ftpd [options]
這裡,/jail是你的jail環境的位置,也就是被jail之後,應用程序“以為”自己所在的“/”的位置;jailed.host.name是你打算提供給這個jail環境的主機名,某些情況下,應用程序需要知道這個變量;$JAILED_IP_ADDR是你打算提供ftp服務(如果是其他應用軟件,那就是其他服務咯,比如web服務)的那個IP地址,至於/usr/local/sbin/pure-ftpd [options] 則是你打算運行的那個應用程序在jail裡面的所在位置以及運行所需的參數。
然後用ps 查看一下進程狀態:
tester# ps -axf |grep pureftpd
95 ?? IsJ 0:00.92 pure-ftpd (SERVER) (pure-ftpd)
可以看到所有這些pure-ftpd的進程都有一個J,標志這這一程序正在jail下面運行。
這時候可能會有一些管理用的程序無法正常工作,因為這些管理用程序無法找到他們需要訪問的那些文件,只要找到這些應用程序需要調用的文件(比如日志文件)的位置,然後制造一個soft link就可以了,通常這些管理程序都可以繼續正常運行。
到此為止,一個針對應用程序的jail構造完成。
第二類,構造受控制的主機
在這種情況下面,我們首先需要構造一個當前版本操作系統的完整鏡像(下面這個腳本是從FreeBSD 4.6r的man page裡面來的,實際上4.5以及之前的man page在構造jail目錄樹腳本上面都有一定的問題,4.6才糾正過來):
tester# cat >>/root/mkjail.sh
jailhome=/data/jail
cd /usr/src
mkdir -p $jailhome
make world DESTDIR=$jailhome
cd etc
make distribution DESTDIR=$jailhome -DNO_MAKEDEV_RUN
cd $jailhome/dev
sh MAKEDEV jail
cd $jailhome
ln -sf dev/null kernel
^D
tester# sh /root/mkjail.sh
最後在/data/jail下面獲得一個完整的根據當前源碼樹編譯得來的jail目錄樹。
接下來:
/*
tester# mkdir $jailhome/stand
tester# cp /stand/sysinstall $jailhome/stand
tester# jail $jailhome jailed.system.box 192.168.0.123 /bin/csh
(這時候就獲得了一個jail下面的shell)
jailed# /stand/sysinstall
*/
通過sysinstall這個程序可以對jail系統的常用變量進行設置,比如時區,DNS,Mail。還有jail系統在“啟動”的時候需要執行的程序。
如果你足夠熟悉這個系統,可以考慮自己手工一個個的做過來。
復制/etc/localtime 到 $jailhome/etc,使jail環境下的應用程序可以得到正確的時間;
復制/etc/resolv.conf 到 $jailhome/etc/resolv.conf 使jail下面可以正確解釋域名;
在jail裡面運行newaliases 避免sendmail的不斷抱怨;
如果打算運行inetd,需要修改inetd的啟動參數,加上 -a $LISTEN_ADDR 選項(因為jail無法自己獲得當前系統的ip地址,所以必須提供一個ip地址給它)在rc.conf裡面看起來應該是這樣:
inetd_flags="-wW -a 192.168.0.123"
將系統本身的syslogd 運行加上 -ss 選項,避免這個syslog啟動****端口;修改/etc/rc.conf 加上 syslogd_flags="-ss" (對$jailhome/etc/rc.conf也如法炮制)
在jail內創建一個空的/etc/fstab,在rc.conf裡面去掉網卡地址的綁定,這樣在jail系統在啟動的時候不會抱怨。
為了實際運行這個jail系統,還需要為jail提供一個可以連接的IP地址,這個地址可以與實際環境同一個子網,也可以處於另外一個子網中。
tester# ifconfig fxp0 192.168.0.123 netmask 0xffffffff alias
(這裡為網卡fxp0綁定了一個別名,准備提供服務。)
所有這些東西都執行完了以後,可以有幾個方法把jail系統啟動起來,一個是在jail外面運行
tester# jail $jailhome jailed.system.box $jail_IP_ADDR /bin/sh $jailhome/etc/rc
一個是單純把ssh/telnetd這樣一些提供遠程訪問的服務在jail內啟動起來:
tester# jail $jailhome jailed.system.box $jail_IP_ADDR /bin/sh $jailhome/bin/inetd -wW -a $jail_IP_ADDR
然後從外面登錄系統,運行、配置jail系統環境,或者手工啟動需要的應用服務。
如果打算運行一個用於生產環境的jail系統的話,推薦使用第一種方法,並且把啟動jail的命令放到(實際環境的)/etc/rc.local腳本裡面去,這樣jail系統可以有比較完備,與實際機器相類似的環境。
這樣一個jail系統就算構造完成並且可以正常運作,加上在實際環境裡面定期的嚴格的備份,安全檢查與審計,就可以得到一個很不錯的安全系統。一般的scriptkids已經無法對你的系統構成實際威脅,即使是某些與黑帽子走得很近的人在漏洞公開之前得到實際的攻擊腳本,並且進入你的系統,他也只能在jail裡面活動,而且你可以知道他什麼時候進入和離開系統,做了什麼。這樣你可以很輕松的恢復系統和防范下一次未知的攻擊。
在jail系統的管理上面有幾個問題需要注意:
1. jail裡面的帳號、密碼是跟實際系統不同的,但是在jail之外ps或者查看jail目錄樹內的文件時,那些jail內部的uid會被看成外部的uid,因此最好把jail裡面的/etc/adduser.conf進行修改,把他們的uid起始號碼放大,比如:uid_start="5000",這樣當你在jail外部進行文件、進程管理的時候不至於誤會文件或者進程的宿主。
2. jail內的任何活動,其能力都受到了限制。比如top/vmstat這樣的東西都不能使用,mknod,dd等等這樣需要訪問直接硬件的東西也無法工作。所以在jail內監控系統運行狀態也比較難。
3. 當想要遠程關閉jail系統的時候,可以有兩種方法,一是進入jail之後kill -TERM -1 或者 kill -KILL -1 ,這樣向所有該jail內的進程發送SIGTERM或者SIGKILL信號,也可以在jail裡面運行/etc/rc.shutdown來關閉jail。如果是本地想要關閉jail倒是簡單,只要把所有帶有J標記的進程干掉就可以了。
4. 一個系統可以運行多個jail,各個jail之間無法互相干涉,如果在jail外面使用
tester# jail $jailhome jailed.system.box $jail_IP_ADDR /path/to/application
這種方式運行某個應用程序,下一次試圖通過運行
tester# jail $jailhome jailed.system.box $jail_IP_ADDR /bin/csh
這種方式獲得的jail過的shell來管理該應用程序將會失敗。因為這時是兩個各自獨立的jail,互相不能干涉。為了能對jail系統內進程靈活地進行管理,推薦在jail裡面除開應用軟件之外,再啟動telnetd或者sshd之類的服務,這些服務此時與應用程序運行在同一個jail裡面,就可以通過遠程登入系統後獲得與那些應用程序在同一個jail內的shell。
5. jail系統內的所有應用軟件版本號應該與外部實際系統保持一致。當外部系統的源碼同步到某個版本並且重新做過make world之後,推薦也重新生成一次jail,以避免某些可能的莫名其妙的錯誤。
6. 另外有一個做法不知道是否正確,在jail裡面每次使用ps的時候,系統都會報告沒有/var/run/dev.db文件,讓人感覺很不舒服,復制實際系統的/var/run/dev.db 到 $jailhome/var/run/ ,就不會再碰到這個問題。
