当前位置:操作系统 > Unix/Linux >>

如何以Solaris架设FTP虚拟系统

1、何谓虚拟系统

  "虚拟系统"的意思是"假的系统",亦即当一个使用者使用的是"虚拟系统"时,他所看到的系统档案及程式,并不是系统管理者所使用的档案。

  例如管理者键入"ls -al /usr/bin/ls"的命令时,看到的档案大小为32767 bytes,而其他使用者键入"ls -al /usr/bin/ls"的命令时,看到的却为65535 bytes,表示为两个档案的路径虽然相同,但却为不同的档案。

  2、虚拟系统的功能为何

  (1) 避免其它使用者使用重要资料

  若您不愿意让使用者观看或执行某些档案,那你可以使用虚拟系统,让使用者看不到特定的档案,或是创造另一个与真正档案内容不同的档案。

  (2) 增加系统安全性

  若您必须开放使用者登入机器,又害怕使用者利用系统内部的漏洞取得额外的权限,破坏系统设定与窃取资料,使用虚拟系统将可以保护系统的资料与系统运作,让恶意的使用者只能做到有限的破坏。

  3、如何以Solaris架设虚拟系统

  其实所谓的"虚拟系统",主要是利用chroot(Change Root)来达成,亦即改变根目录的位置,而使得系统对应到一新的系统设定中。

  要达到这个目的,大致上可分为两种方法,一是修改程式码,另外一个则是用系统本身的命令来达成。

  在此我们并不打算详细说明有关修改程式码的部份如何做,简单的说,程式部份主要是利用chroot()这个C函式来改变根目录的位置,较为麻烦的地方在於你可能要修改inetd程式或其它网路服务程式,当然你也可以自己写这些程式,不过不是每个管理者都对攒写程式有兴趣的。

  但不论你采用哪一种方法,有一件事是都需要做的,那就是创造一个虚拟的系统环境。以下简单列出如何在"/vs"这个目录下,创造一个新的系统环境,并且不修改程式来启动虚拟系统的服务:

  tar -cf /system.tar /var /usr /etc /dev /devices

  将系统中的/var, /usr, /etc, /dev, /devices压入system.tar这个档。

  tar -xf /system.tar /vs

  将system.tar这个档的资料解开放在/vs目录下。

  以上两行指令便能系统的档案到"/vs"目录去,此时当你下达"chroot /vs/usr/bin/sh"指令时,将会得到和原本系统相似的环境。而在这样的环境中,使用者不结束目前的shell(chroot後所得的的shell)是无法藉由任何指令返回原来的系统的。

  然而事实上你不需要全部的系统档案到"虚拟系统"去,只要所需的档案即可。至於什麽是所需的档案,端看你安装了哪些服务。底下所列为在"/vs"中创造FTP的"虚拟系统"做法:

  (1)"虚拟系统"中的"/etc"目录

  创造"虚拟系统"中的"/etc"目录,以放置密码及设定档。

  mkdir /vs/etc

  设定"虚拟系统"中的"/etc/inetd.conf"档。

  echo "ftp stream tcp nowait root /usr/sbin/in.ftpd

  in.ftpd" > /vs/etc/inetd.conf

  设定"虚拟系统"中的"/etc/passwd"档。

  echo "root:x:0:1:Super-User:/:/usr/bin/tcsh" > /vs/etc/passwd

  echo "ftp:x:60:60:Anonymous Ftp:/:/dev/null" >> /vs/etc/passwd

  设定"虚拟系统"中的"/etc/shadow"档。

  echo "root:NP:6445::::::" > /vs/etc/shadow

  echo "ftp:NP:6445::::::" >> /vs/etc/shadow

  (2) "虚拟系统"中的"/var"目录

  创造"虚拟系统"中的"/var"目录,以放置系统记录档。

  mkdir /vs/var

  mkdir /vs/var/adm

  (3) "虚拟系统"中的"/usr"目录

  创造"虚拟系统"中的"/var"目录,以放置系统程式及程式库。

  mkdir /vs/usr

  mkdir /vs/usr/bin

  mkdir /vs/usr/sbin

  mkdir /vs/usr/lib

  从"/usr/lib"拷贝下列档案至"/vs/usr/lib"

  ld.so.1

  libauth.so.1

  libbsm.so.1

  libc.so.1

  libcmd.so.1

  libcrypt_i.so.1

  libdl.so.1

  libgen.so.1

  libmp.so.1

  libmp.so.2

  libnsl.so.1

  libsocket.so.1

  nss_files.so.1

  从"/usr/bin"拷贝下列档案至"/vs/usr/bin"

  *ls

  从"/usr/sbin"拷贝下列档案至"/vs/usr/sbin"

  *in.ftpd (FTP伺服器程式)

  *inetd (Internet Super Daemon)

  (4)"虚拟系统"中的"/dev"与"/devices"目录

  作"/dev"、"/devices"的tar档。

  tar -cf /dev.tar /dev /devices

  将tar档解至"/vs"目录下。

  tar -xf /dev.tar /vs

  删除tar档

  rm /dev.tar

  (5)启动服务

  chroot /vs /usr/sbin/inetd -s

  此步骤须注意是否关闭原始系统中inetd.conf的ftp选项,否则无易做图常启动。

  4、结语

  有人或许会问,anonymous ftp本身就有做chroot的动作,为何还要自己做一个虚拟系统呢? 事实上,FTP服务若有漏洞,入侵者可透过漏洞取得root权限,此时anonymous ftp的chroot未必会被执行,若未执行chroot,那整个系统就暴露在入侵者眼前,但若你做了虚拟系统,将强制使用者连线时已在虚拟系统中,即使入侵者透过漏洞取得root权限,亦会被限制於虚拟系统中,将难以破坏原本的系统,如此可将系统损害降低。

  

上一个:如何在Solaris操作系统获取Shadow
下一个:Solaris安全FAQ

更多Unix/Linux疑问解答:
路由原理介绍
子网掩码快速算法
改变网络接口的速度和协商方式的工具miitool和ethtool
Loopback口的作用汇总
OSPF的童话
增强的ACL修改功能
三层交换机和路由器的比较
用三层交换机组建校园网
4到7层交换识别内容
SPARC中如何安装Linux系统(2)
SPARC中如何安装Linux系统(1)
用Swatch做Linux日志分析
实战多种Linux操作系统共存
浅析Linux系统帐户的管理和审计
Linux2.6对新型CPU的支持(2)
电脑通通透
玩转网络
IE/注册表
DOS/Win9x
Windows Xp
Windows 2000
Windows 2003
Windows Vista
Windows 2008
Windows7
Unix/Linux
苹果机Mac OS
windows8
安卓/Android
Windows10
如果你遇到操作系统难题:
访问www.zzzyk.com 试试
CopyRight © 2022 站长资源库 编程知识问答 zzzyk.com All Rights Reserved
部分文章来自网络,