Existuje mnoho případů, kdy si můžete přát izolovat určité aplikace, uživatele nebo prostředí v systému Linux. Různé operační systémy mají různé metody k dosažení izolace a v Linuxu je klasický způsob přes chroot prostředí.
V této příručce vám podrobně ukážeme, jak nastavit izolované prostředí pomocí chrootu, abyste vytvořili bariéru mezi vaším běžným operačním systémem a uzavřeným prostředím. To je užitečné hlavně pro účely testování. Naučíme vás kroky na instanci Ubuntu 14.04 VPS.
Většina systémových administrátorů bude mít prospěch z toho, že bude vědět, jak vytvořit rychlé a snadné prostředí chroot, a je to cenná dovednost.
Prostředí chroot
Chroot prostředí je volání operačního systému, které dočasně změní kořenové umístění na novou složku. Koncepce kořenového adresáře operačního systému je obvykle skutečný kořenový adresář umístěný v "/ ". Nicméně s chroot." , můžete zadat jiný adresář, který bude sloužit jako adresář nejvyšší úrovně po dobu chrootu.
Všechny aplikace spouštěné z chroot nebude v zásadě schopen vidět zbytek operačního systému.
Výhody prostředí Chroot
- Test applications without the risk of compromising the entire host system.
- From the security point of view, whatever happens in the chroot environment won't affect the host system (not even under root user).
- A different operating system running in the same hardware.Například vám umožňuje vytvářet, instalovat a testovat software v prostředí, které je oddělené od vašeho běžného operačního systému. Může být také použit jako metoda spouštění 32bitových aplikací v 64bitovém prostředí t.
Ale zatímco chroot prostředí jistě udělají práci navíc pro neprivilegovaného uživatele, měla by být považována za zpřísňující funkci namísto bezpečnostní funkce, což znamená, že se snaží snížit počet útočných vektorů namísto vytvoření úplného řešení. Pokud potřebujete úplnou izolaci, zvažte kompletnější řešení, jako jsou linuxové kontejnery, Docker, vservery atd.
Debootstrap a Schroot
Nezbytné balíčky pro nastavení chrootového prostředí jsou debootstrap a schroot , které jsou dostupné v úložišti ubuntu. Příkaz schroot se používá k nastavení prostředí chroot.
Debootstrap umožňuje nainstalovat novou čerstvou kopii libovolného systému Debian (nebo systému založeného na debianu) z úložiště v adresáři se všemi základními příkazy a binárními soubory potřebnými ke spuštění základní instance operačního systému.
Schroot umožňuje normálním uživatelům přístup ke chrootům pomocí stejného mechanismu, ale s kontrolou oprávnění a umožňuje dodatečné automatické nastavení prostředí chroot, jako je připojování dalších souborových systémů a další konfigurační úlohy.
Toto jsou kroky k implementaci této funkce v Ubuntu 14.04 LTS:
1. Instalace balíčků
Za prvé, nainstalujeme debootstrap a schroot do našeho hostitele Ubuntu 14.04 LTS.
$ sudo apt-get install debootstrap
$ sudo apt-get install schroot2. Konfigurace Schroot
Nyní, když máme příslušné nástroje, stačí určit adresář, který chceme použít jako naše chroot prostředí. V našem kořenovém adresáři vytvoříme adresář s názvem linoxide, kde nastavíme chroot:
sudo mkdir /linoxide
Musíme nakonfigurovat schroot tak, aby vyhovoval našim potřebám v konfiguračním souboru. Upravíme schroot konfigurační soubor s informacemi, které potřebujeme ke konfiguraci.
sudo nano /etc/schroot/schroot.confV současné době používáme systém Ubuntu 14.04 LTS (Trusty Tahr), ale řekněme, že chceme otestovat některé balíčky dostupné na Ubuntu 13.10 s kódovým názvem „Saucy Salamander“. Můžeme to udělat vytvořením záznamu, který vypadá takto:
[saucy]
description=Ubuntu Saucy
location=/linoxide
priority=3
users=arun
root-groups=root
Upravte hodnoty konfiguračních parametrů ve výše uvedeném příkladu tak, aby vyhovovaly vašemu systému:
3. Instalace 32bitového Ubuntu pomocí debootstrap
Debootstrap stáhne a nainstaluje minimální operační systém do vašeho prostředí chroot . Můžete si nainstalovat jakoukoli distribuci založenou na debianu podle svého výběru, pokud máte k dispozici úložiště.
Výše jsme umístili prostředí chroot do adresáře /linoxide a toto je kořenový adresář prostředí chroot. Budeme tedy muset spustit debootstrap v adresáři, který jsme již vytvořili:
cd /linoxide
sudo debootstrap --variant=buildd --arch amd64 saucy /linoxide/ http://archive.ubuntu.com/ubuntu/ sudo chroot /linoxide /debootstrap/debootstrap --second-stageAmd64 můžete nahradit v --arch jako i386 nebo jiný bit OS, který chcete nastavit, dostupný v úložišti. Zrcadlo http://archive.ubuntu.com/ubuntu/ výše můžete nahradit jako nejbližší, nejbližší můžete získat z oficiální stránky Ubuntu Mirror.
Poznámka: Pokud se rozhodnete nastavit choot i386 bit OS ve vašem 64bitovém hostitelském Ubuntu jako:
, budete muset přidat --foreign nad příkaz 3. řádkusudo debootstrap --variant=buildd --foreign --arch i386 saucy /linoxide/ http://archive.ubuntu.com/ubuntu/Stažení, instalace a konfigurace celého systému nějakou dobu trvá (v závislosti na vaší šířce pásma). Minimální instalace trvá asi 500 MB.
4. Dokončení prostředí chroot
Po instalaci systému budeme muset provést nějaké konečné konfigurace, abychom se ujistili, že systém funguje správně. Nejprve se budeme chtít ujistit, že náš hostitel fstab ví o některých pseudosystémech v našem hostu.
sudo nano /etc/fstab Přidejte následující řádky na konec vašeho fstabu:
proc /linoxide/proc proc defaults 0 0
sysfs /linoxide/sys sysfs defaults 0 0Uložte a zavřete soubor.
Nyní budeme muset připojit tyto souborové systémy do našeho hosta:
$ sudo mount proc /linoxide/proc -t proc
$ sudo mount sysfs /linoxide/sys -t sysfs
Budeme také chtít zkopírovat naše /etc/hosts soubor, abychom měli přístup ke správným informacím o síti:
$ sudo cp /etc/hosts /linoxide/etc/hostsNakonec můžete pomocí příkazu schroot vypsat seznam dostupných chrootových prostředí.
$ schroot -lDo prostředí chroot můžeme vstoupit příkazem jako je tento:
$ sudo chroot /linoxide/ /bin/bashYou can test the chroot environment by checking the version of distributions installed.# lsb_release -a
# uname -aChcete-li dokončit tento tutoriál, abyste mohli spustit grafickou aplikaci z chrootu, musíte exportovat proměnnou prostředí DISPLAY.
$ DISPLAY=:0.0 ./apps
Zde jsme úspěšně nainstalovali Chrooted Ubuntu 13.10 (Saucy Salamander) do vašeho hostitele Ubuntu 14.04 LTS (Trusty Tahr).
Prostředí chroot můžete úspěšně ukončit spuštěním následujících příkazů:
# exitPoté musíme odpojit naše souborové systémy proc a sys:
$ sudo umount /test/proc
$ sudo umount /test/sys