Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
Далее – уже знакомые вам процедуры: создаём псевдоним для интерфейса, задав IP-адрес, вносим несколько строк в /etc/rc.conf и запускаем jail. Готово, можно рассылать своим друзьям-хакерам IP-адрес с просьбой взломать этот сервер.
Заключение
Как видите, работать с jail достаточно просто. Но это не означает, что стоит «пихать» каждую сетевую службу в «тюрьму», – такое решение во многих случаях будет похоже на стрельбу из пушки по воробьям, особенно когда процесс работает с правами непривилегированного пользователя. Но если вы всё же считаете, что вам будет спокойнее, если все «апачи» и «сендмейлы» будут изолированы от основной системы, то используйте jail – это ненамного сложнее, чем в случае chroot, но зато вы получите все преимущества вызова, специально разработанного для решения проблем безопасности. К тому же к вашим услугам довольно удобный инструментарий для управления и надзора за вашими «тюрьмами».
Приложение
Технологии «соседей»: зоны Solaris
Начиная с 10-й версии в Solaris существует реализация так называемых зон – технологии, очень близкой по своей сущности «тюрьмам» FreeBSD. Зоны позволяют запускать в рамках одного ядра несколько изолированных экземпляров системы. Так же, как и в jail, процессы различных зон не имеют возможности влиять друг на друга и даже наблюдать за «чужими» действиями.
Сама система, в которой оказывается администратор после установки Solaris, – это тоже зона, именуемая глобальной. Процессы глобальной зоны имеют расширенные полномочия для мониторинга процессов в «обычных» зонах.
Работа с зонами реализована гораздо удобнее и последовательнее, чем средства работы с jail, – к услугам администратора мощные утилиты zoneadm и zonecfg, позволяющие создавать, инсталлировать, конфигурировать зоны и управлять их работой. Взаимодействие с зоной осуществляется через так называемую консоль зоны, подключение к которой выполняется утилитой zlogin.
По умолчанию зоны используют (с правами только на чтение с помощью loopback filesystem) ряд пакетов глобальной зоны, благодаря чему их размер сравнительно небольшой, хотя «изнутри» зона мало чем отличается от полноценной системы.
Внутри неглобальной зоны действуют ограничения, аналогичные ограничениям jail, – невозможно просмотреть информацию о процессах в других зонах, запрещены загрузка модулей ядра, настройка оборудования и т. д. Правда, «администратор» неглобальной зоны имеет возможность перезагрузить её. Или, скажем, есть возможность внутри зоны использовать «сырые» сокеты для ICMP (для других типов трафика их использование для неглобальных зон запрещено). Есть, естественно, и другие отличия.
Технологии «соседей»: VServer и Virtuozzo/OpenVZ
Операционная система Linux тоже готова порадовать своих пользователей возможностью строить изолированные среды запуска процессов. Наиболее распространённые из них – VServer и Virtuozzo, поставляемые в виде патчей к ядру и набора утилит.
VServer, достаточно близкий по своей концепции к jail в FreeBSD, подробно был описан в статье Дмитрия Столярова «Linux-VServer: настраиваем виртуальные серверы» (октябрь 2006 года).
Технология Virtuozzo, разработанная компанией SWSoft, также позволяет запускать на одном физическом сервере до нескольких сотен изолированных виртуальных сред (Virtual Environment, VE) под управлением одного ядра. Virtuozzo распространяется под проприетарной лицензией. Однако доступна также открытая система OpenVZ, являющаяся базой для Virtuozzo. По заявлениям разработчиков, накладные расходы на создание виртуальных сред не превышают 1-3%, что делает подобные технологии заметно эффективнее для ряда задач, чем виртуальные машины.