在Solaris中架设FTP虚拟系统-sdccf-ChinaUnix博客

Fosdccf.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

sdccf

博客访问： 91908215
博文数量： 19283
博客积分： 9968
博客等级：上将
技术积分： 196062
用户组：普通用户
注册时间： 2007-02-07 14:28

文章分类

全部博文（19283）

香文化（0）
CU技术专题（2443）

Linux酷软（214）

tmp（0）

PostgreSQL（93）

Solaris（383）

AIX（173）

SCOUNIX（575）

DB2（1005）
涂鸦（9）
编程开发（1573）

Shell（386）

C/C++（1187）
数据库（6458）

MySQL（1750）

Sybase（465）

Oracle（3695）

Informix（548）
操作系统（8627）

HP-UX（0）

IBM AIX（2）

Sun Solaris（0）

BSD（1）

Linux（8597）

SCO UNIX（23）
未分配的博文（173）

文章存档

2011年（1）

2009年（125）

2008年（19094）

2007年（63）

我的朋友

最近访客

推荐博文

在Solaris中架设FTP虚拟系统

分类：

2008-05-02 22:34:25

出处：Unix爱好者家园unix-cd.com

  1.何谓虚拟系统
    "虚拟系统"的意思是"假的系统"，亦即当一个使用者使用的是"虚拟系统"时，
    他所看到的系统档案及程式，并不是系统管理者所使用的档案。

    例如管理者键入"ls -al  /usr/bin/ls"的命令时，看到的档案大小为32767
    bytes，而其他使用者键入"ls  -al  /usr/bin/ls"的命令时，看到的却为65535
    bytes，表示为两个档案的路径虽然相同，但却为不同的档案。

  2.虚拟系统的功能为何
    (1) 避免其它使用者使用重要资料
        若您不愿意让使用者观看或执行某些档案，那你可以使用虚拟系统，让
        使用者看不到特定的档案，或是创造另一个与真正档案内容不同的档案。

    (2) 增加系统安全性
        若您必须开放使用者登入机器，又害怕使用者利用系统内部的漏洞取得额
        外的权限，破坏系统设定与窃取资料，使用虚拟系统将可以保护系统的资
        料与系统运作，让恶意的使用者只能做到有限的破坏。

  3.如何以Solaris架设虚拟系统
    其实所谓的"虚拟系统"，主要是利用chroot(Change Root)来达成，亦即改变根
    目录的位置，而使得系统对应到一新的系统设定中。

    要达到这个目的，大致上可分为两种方法，一是修改程式码，另外一个则是用
    系统本身的命令来达成。

    在此我们并不打算详细说明有关修改程式码的部份如何做，简单的说，程式部
    份主要是利用chroot()这个C函式来改变根目录的位置，较为麻烦的地方在於你
    可能要修改inetd程式或其它网路服务程式，当然你也可以自己写这些程式，
    不过不是每个管理者都对攒写程式有兴趣的。

    但不论你采用哪一种方法，有一件事是都需要做的，那就是创造一个虚拟的系
    统环境。以下简单列出如何在"/vs"这个目录下，创造一个新的系统环境，并且
    不修改程式来启动虚拟系统的服务:

        tar -cf /system.tar /var /usr /etc /dev /devices
        将系统中的/var, /usr, /etc, /dev, /devices压入system.tar这个档。

        tar -xf /system.tar /vs
        将system.tar这个档的资料解开放在/vs目录下。

    以上两行指令便能系统的档案到"/vs"目录去，此时当你下达"chroot /vs
    /usr/bin/sh"指令时，将会得到和原本系统相似的环境。而在这样的环境中，使
    用者不结束目前的shell(chroot後所得的的shell)是无法藉由任何指令返回原来
    的系统的。

    然而事实上你不需要全部的系统档案到"虚拟系统"去，只要所需的档
    案即可。至於什麽是所需的档案，端看你安装了哪些服务。底下所列为在"/vs"
    中创造FTP的"虚拟系统"做法:

    (1)"虚拟系统"中的"/etc"目录
      创造"虚拟系统"中的"/etc"目录，以放置密码及设定档。
        mkdir /vs/etc

      设定"虚拟系统"中的"/etc/inetd.conf"档。
        echo "ftp   stream  tcp   nowait  root  /usr/sbin/in.ftpd
              in.ftpd" > /vs/etc/inetd.conf

      设定"虚拟系统"中的"/etc/passwd"档。
        echo "root:x:0:1:Super-User:/:/usr/bin/tcsh" > /vs/etc/passwd
        echo "ftp:x:60:60:Anonymous Ftp:/:/dev/null" >> /vs/etc/passwd

      设定"虚拟系统"中的"/etc/shadow"档。
        echo "root:NP:6445::::::" > /vs/etc/shadow
        echo "ftp:NP:6445::::::" >> /vs/etc/shadow

    (2) "虚拟系统"中的"/var"目录
        创造"虚拟系统"中的"/var"目录，以放置系统记录档。
        mkdir /vs/var
        mkdir /vs/var/adm

    (3) "虚拟系统"中的"/usr"目录
        创造"虚拟系统"中的"/var"目录，以放置系统程式及程式库。
        mkdir /vs/usr
        mkdir /vs/usr/bin
        mkdir /vs/usr/sbin
        mkdir /vs/usr/lib

        从"/usr/lib"拷贝下列档案至"/vs/usr/lib"
        ld.so.1
        libauth.so.1
        libbsm.so.1
        libc.so.1
        libcmd.so.1
        libcrypt_i.so.1
        libdl.so.1
        libgen.so.1
        libmp.so.1
        libmp.so.2
        libnsl.so.1
        libsocket.so.1
        nss_files.so.1

        从"/usr/bin"拷贝下列档案至"/vs/usr/bin"
        *ls

        从"/usr/sbin"拷贝下列档案至"/vs/usr/sbin"
        *in.ftpd (FTP伺服器程式)
        *inetd (Internet Super Daemon)

      (4)"虚拟系统"中的"/dev"与"/devices"目录
        作"/dev"、"/devices"的tar档。
        tar -cf /dev.tar /dev /devices

        将tar档解至"/vs"目录下。
        tar -xf /dev.tar /vs

        删除tar档
        rm /dev.tar

      (5)启动服务
        chroot /vs /usr/sbin/inetd -s
        此步骤须注意是否关闭原始系统中inetd.conf的ftp选项，否则无法正常启动。

  4.结语
    有人或许会问，anonymous ftp本身就有做chroot的动作，为何还要自己做一个虚拟
    系统呢? 事实上，FTP服务若有漏洞，入侵者可透过漏洞取得root权限，此时anonymous
    ftp的chroot未必会被执行，若未执行chroot，那整个系统就暴露在入侵者眼前，但若你
    做了虚拟系统，将强制使用者连线时已在虚拟系统中，即使入侵者透过漏洞取得root
    权限，亦会被限制於虚拟系统中，将难以破坏原本的系统，如此可将系统损害降低。
    至於其它的服务如何在虚拟系统中启动，方法与步骤是相似的。

阅读(254) | 评论(0) | 转发(0) |

上一篇： Solaris10从下载、安装到基本配置过程

下一篇：使用Solaris搭建路由器

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6