Index: head/zh_TW.UTF-8/books/handbook/jails/chapter.xml =================================================================== --- head/zh_TW.UTF-8/books/handbook/jails/chapter.xml (revision 47160) +++ head/zh_TW.UTF-8/books/handbook/jails/chapter.xml (revision 47161) @@ -1,793 +1,793 @@ Jails MatteoRiondatoContributed by jails 概述 本章將介紹 &os; jail 為何,以及如何運用之法。 Jails 有時也常被認為是 chroot 環境 的加強型替代品之一,它對系統管理者而言是非常好用的工具, 此外,它的一些基本用法對進階使用者而言,也是相當有用。 讀完這章,您將了解︰ jail 是什麼,以及它在 &os; 上可以發揮的作用。 如何編譯、啟動、停止 jail。 jail 管理的基本概念:包括從 jail 內部或主機本身。 其他有用的 jail 相關資源還有: &man.jail.8; 線上說明。 這是有關 jail 的完整說明 — &os; 內的啟動、停止、控制 &os; jail 相關管理工具。 郵遞論壇(mailing lists)及舊信檔案館(archives)。 &a.mailman.lists; 所提供的 &a.questions; 及其他郵遞論壇的舊信 ,已有包括一堆 jail 的有用資料。 通常,搜尋舊信或者在 &a.questions.name; 上發問,也相當有效。 Jail 相關術語 為協助更容易理解 &os; 系統的 jail 相關部分, 以及它們與 &os; 其他部分的相互作用關係, 以下列出本章將使用的術語: &man.chroot.2; (指令) &os; 的 system call 之一,其作用為改變 process 及其衍生 process 所能運用的根目錄 (/ dir)。 &man.chroot.2; (環境) 指在 chroot 中運行的 process 環境。 這包括了類似檔案系統的可見部分、可用的 UID、GID、網路卡及其他 IPC 機制等資源。 &man.jail.8; (command) 允許程式在 jail 環境下執行的系統管理工具。 host (系統、process、帳號等等) jail 環境的控制系統。 host 系統可以使用全部可用的硬體資源, 並能控制 jail 環境內外的 process。 host 系統與 jail 最大的差別在於 :在 host 系統中的 superuser processes 並不像在 jail 環境那樣處處受到一堆限制。 hosted (系統、process、帳號等等) 可用資源受到 &os; jail 限制的 process、帳號、或其他設備資源 。 背景故事 由於系統管理是困難又繁瑣的工作,因此人們開發許多好用工具, 以讓管理工作更加簡單輕鬆。 這些改善通常是讓系統能夠以更簡單的方式安裝、 設定、維護,而有些改善目標則是系統安全的正確設定,使其能真正發揮原本用途, 而非陷入安全風險之中。 &os; 系統所提供的一種用於強化安全的工具就是 jail 。 Jail 是由 &a.phk; 於 &os; 4.X 開始導入,而在 &os; 5.X 受到許多重大改良而集大成,成為強大而靈活的子系統,目前仍在持續開發、 以提高其可用性、效能與安全。 何為 Jail BSD-like 作業系統自 4.2BSD 起即提供 &man.chroot.2;。 &man.chroot.8; 可用來變更一組 process 的根目錄位置, 藉此建立與實體系統中相隔離的安全環境。 處於 chrooted 環境的 - process 會無法不能存取世外的檔案或資源。 由於此因素, + process 會無法存取世外的檔案或資源。 由於此因素, 故即使攻擊者攻破某個處於 chroot 環境的 service,也不能攻破整個系統。 &man.chroot.8; 對於那些不太需要彈性或複雜又高級的簡單應用而言相當好用。 另外,在引入 chroot 概念的過程中,曾經發現許多可脫逃 chroot 環境的方式, 儘管這些問題在較新版本的 &os; kernel 均已修正,但很明顯地 &man.chroot.2; 絕非用於強化安全的理想解決方案。 因此, 勢必得實作新的子系統來解決這些問題。 這就是為何要開發 jail 的最主要原因。 Jail 在各種方式分進合擊,改進傳統 &man.chroot.2; 環境的概念。 在傳統的 &man.chroot.2; 環境中,只限制 process 對於檔案系統的存取部分, 而系統資源的其他部分(例如系統帳號、執行中的 process、網路子系統)則是由 chroot process 與 host 系統的其他 process 一起共享。 Jail 以『虛擬化』來擴展這模型,不單只有檔案系統的存取,還延伸到 系統帳號、&os; kernel 的網路子系統及其他系統資源的虛擬化。 關於這些 jail 環境存取的細微調控,請參閱 jail 具有下列四項特色: 目錄子樹(directory subtree) — 也就是進入 jail 的起點。 一旦進入 jail 之後,process 就不再被允許跳到 subtree 以外。 &傳統會影響到 &man.chroot.2; 最初設計的安全問題,就不會再影響 &os; jail。 主機名稱(hostname) — 用於 jail 的 hostname。 由於 jail 主要用於網路服務,因此若各 jail 皆有名稱, 對於系統管理工作的簡化會相當有效。 IP address — 是用來給 jail 使用, 並且在 jail 生命週期內都無法變更。 通常 jail 的 IP address 是現有網卡的 alias address,但這並不是必須的。 指令(Command) — 準備在 jail 內執行的完整路徑。 這指令是相對於 jail 環境的根目錄,視 jail 環境的類型不同,而有所差異。 除了上述之外,jail 也可擁有自己的帳號及 root 帳號。 當然,這裡的root 權力會受制於 jail 環境內。 並且從 host 系統的角度來看,jail 的 root 並非無所不能的帳號。 此外 jail 的 root 並不能執行其對於 &man.jail.8; 環境以外的一些關鍵性操作。 關於 root 的能力與限制,將於稍後的 介紹之。 建立和控制 Jail 有些系統管理者把 jail 分為下列兩種:complete(完全) jail — 通常包括完整的 &os; 系統;另一種則為 service(服務) jail — 專門只跑某單一可能要用特殊權限的程式或 service。 這只是一種概念上的區分 ,並不影響如何建立 jail 的過程。 至於如何建立 jail 在 &man.jail.8; 內有更詳細的說明: &prompt.root; setenv D /here/is/the/jail &prompt.root; mkdir -p $D &prompt.root; cd /usr/src &prompt.root; make world DESTDIR=$D &prompt.root; cd etc/ &os; 6.0(含) 之後就不需這步驟。 &prompt.root; make distribution DESTDIR=$D &prompt.root; mount -t devfs $D/dev 首先就是先為 jail 找個家。 該路徑是在 host 系統中的 jail 實體位置。 習慣是放在 /usr/jail/jailnamejailname 請替換為該 jail 的 hostname 以便辨別。 通常 /usr 會有足夠空間來存放 jail 檔案系統,對於 complete jail 而言,它通常包括了 &os; 預設安裝 base system 所有檔案的拷貝檔。 該指令將會在 jail 目錄中安裝所需的 binary、library、manual 說明等 。 這些是以傳統的 &os; 方式完成 — 即首先先編譯所有檔案, 接著再裝到目的地。 使用 distribution 這個 make target 來裝所有會用到的設定檔。 簡單來說該動作就是把 /usr/src/etc/ 複製到 jail 環境內的 /etc,也就是 $D/etc/ 對於 jail 環境而言,&man.devfs.8; 檔案系統的掛載並非必須, 但另一方面,幾乎所有應用程式都會需要存取至少一個設備(device), 這主要取決於該程式目的而定。 控制 jail 所能存取的設備非常重要, 因為不正確的設定,會讓攻擊者對 jail 有機可趁。 至於如何透過 &man.devfs.8; 來控制的規則,可以參閱 &man.devfs.8; 及 &man.devfs.conf.5; 說明。 裝好 jail 之後,就可以用 &man.jail.8; 工具。 &man.jail.8; 需要四項必填參數,這些參數在 有介紹過。 除了這四個參數之外,還可以指定其他參數,像是以特定帳號在 jail 中執行 process。 參數取決於 jail 類型而定;對於 virtual system(虛擬系統) ,那麼就選擇 /etc/rc, 因為它會完成真正 &os; 系統啟動所需的操作。 對於 service(服務) jail 而言,執行的指令取決於將在 jail 內執行的 service 或應用程式而定。 Jail 通常要在系統開機時啟動,因此 &os; 的 rc 機制提供一些便利的方式來簡化這些工作: 開機時要啟動的 jail 清單要加到 &man.rc.conf.5; 設定檔: jail_enable="YES" # 若設為 NO 則表示不自動啟動 jail jail_list="www" # 若有許多 jail 則請以空白隔開來寫 對於每一筆在 jail_list 所列出的 jail, 也要在 &man.rc.conf.5; 做出相對應的設定: jail_www_rootdir="/usr/jail/www" # jail 的根目錄 jail_www_hostname="www.example.org" # jail 的 hostname jail_www_ip="192.168.0.10" # jail 的 IP address jail_www_devfs_enable="YES" # 在 jail 內 mount devfs jail_www_devfs_ruleset="www_ruleset" # jail 內所用的 devfs 規則表 在 &man.rc.conf.5; 所預設的 jail 啟動設定會跑 /etc/rc 內的 jail script,也就是說會假設 jail 是完整的虛擬系統。 若要用 service jail 類型,則要另外指定啟動指令, 方法是設定對應的 jail_jailname_exec_start 設定。 若欲知道所有可用的選項清單,請參閱 &man.rc.conf.5; 說明。 也可以透過手動執行 /etc/rc.d/jail script 來啟動或停止 rc.conf 所設定的 jail: &prompt.root; /etc/rc.d/jail start www &prompt.root; /etc/rc.d/jail stop www 目前尚無任何方法來很乾淨地關閉 &man.jail.8;。 此乃因為正常用來關閉系統的指令,目前尚不能在 jail 中使用。 目前關閉 jail 最佳的方式,是在 jail 內執行下列指令,或者 jail 外面透過 &man.jexec.8; 執行下列指令: &prompt.root; sh /etc/rc.shutdown 詳情請參閱 &man.jail.8; 說明。 微調與管理 可以為 jail 設定許多不同選項,並讓 &os; 的 host 系統與 jail 以各種不同方式組合搭配,以符合更多的應用用途。 本節要介紹的是: 用以微調 jail 行為與安全限制的選項。 可透過 &os; Ports Collection 安裝的高階 jail 管理程式, 搭配這些程式可以達到一些 jail-based 解決方案。 &os; 所提供的 jail tuning 工具 對於 jail 設定的微調,基本上都是透過設定 &man.sysctl.8; 變數來完成。 系統提供一組 sysctl 的特殊子樹,全部相關的選項都在該子樹內,也就是 &os; kernel 中的 security.jail.* 子樹。 下面則是與 jail 相關的主要 sysctl 設定及預設值,這些名稱都相當容易理解, 如欲更進一步的資訊,請參閱 &man.jail.8; 與 &man.sysctl.8; 說明: security.jail.set_hostname_allowed: 1 security.jail.socket_unixiproute_only: 1 security.jail.sysvipc_allowed: 0 security.jail.enforce_statfs: 2 security.jail.allow_raw_sockets: 0 security.jail.chflags_allowed: 0 security.jail.jailed: 0 系統管理者可在 host system 透過修改這些設定值來增加、取消 Jail 內 root 帳號的預設限制。 請注意:有些限制是不能取消,在 &man.jail.8; 環境的 root 不能掛載或卸載檔案系統。 此外亦不能載入、 卸載 &man.devfs.8; 規則、設定防火牆規則,或執行其他需修改 kernel 資料的管理作業,例如設定 kernel 的 securelevel 值。 &os; base system 內附一些基本工具,可用來查閱目前使用中的 jail、 並接上(attach) jail 以執行管理指令。 &man.jls.8; 及 &man.jexec.8; 均屬於 &os; base system 之一,可用來執行一些簡單工作: 列出有在使用的 jail 及其相對應的 jail identifier (JID)、IP address、 hostname、路徑。 接上(Attach)正在運作中的 jail,並在其中執行指令以進行管理工作。 這點在當 root 想乾淨關閉 jail 時相當有用, &man.jexec.8; 也可用在 jail 中啟動 shell 以便對其進行管理, 比如: &prompt.root; jexec 1 tcsh &os; Ports Collection 所提供的高階管理工具 在諸多 third-party 所提供的 jail 管理工具當中,sysutils/jailutils 是最完整也最好用的。 該套件是由一系列 &man.jail.8; 管理小工具所組成的。 詳情請參閱其網站介紹 。 Jail 的應用 Service Jails DanielGerzoContributed by 本節主要以 &a.simon; 寫的 http://simon.nitro.dk/service-jails.html 為主,加上 Ken Tom locals@gmail.com 所更新的文章。 本節介紹如何設定 &os; 以 &man.jail.8; 功能來增加額外的安全層面。 這部分假設您系統跑的是 RELENG_6_0 或更新的版本, 並且對本章先前部分均能理解。 Design Jail 的主要問題之一在於如何對其進行更新、升級和管理。 由於每個 jail 都是從頭重新編譯,對於單一 jail 而言, 升級也許還不是很嚴重的問題,因為更新、升級並不會太麻煩。 但對於一堆 jail 而言,升級不僅會耗費太多時間,並相當枯燥乏味。 這些設定的前提是您對 &os; 使用、功能運用上有相當的經驗, 若下面的設定對您來說太過複雜,建議您該考慮用較簡易的系統,像是 sysutils/ezjail,其提供更簡單的 &os; jail 管理方式。 基本的想法是在不同的 jail 中儘量以安全的方式來共用資源 — 採用唯讀的 &man.mount.nullfs.8; 掛載,來讓升級更簡單, 並把各個 service 放到不同的 jail 的作法會更加可行。 此外, 其也提供對於如何增加、刪除、升級 jail 的簡便方式。 service 常見的例子包括: HTTP server、DNS server、SMTP server 等等。 本節介紹的設定目的在於: 建立簡易且容易理解的 jail 架構。 也就是說 不必為每個 jail 都執行完整的 installworld 。 讓 jail 的新增、移除更簡單。 讓 jail 的更新、升級更輕鬆。 可以跑自行打造的 &os; 分支。 對安全有更偏執狂的追求,儘可能降低被攻陷的可能。 儘量節省空間與 inode。 如同先前所提到的,這設計主要是靠把唯讀的主要模版 (也就是大家所熟知的 nullfs)掛載到每個 jail,並且讓每個 jail 有個可讀、寫的設備,這設備可以是獨立實體硬碟、 、分割區、或以 vnode 為後端的 &man.md.4; 設備。 在本例當中, 我們採用可讀寫的 nullfs 掛載。 下面的表則介紹檔案系統的配置: 每個 jail 都會掛載到 /home/j 底下的其中一個目錄。 /home/j/mroot 則是每個 jail 共用的模版,並對於所有 jail 而言都是唯讀。 每個 jail 在 /home/j 底下都有一個相對應的空目錄。 每個 jail 都會有 /s 目錄, 該目錄會連到系統的可讀寫部分。 每個 jail 都會在 /home/j/skel 目錄建立自屬的可讀寫空間 。 每個 jailspace (各 jail 可讀寫的部分) 都建在 /home/js>。 這邊假設所有 jail 都放在 /home 分割區。 當然, 也可以依自身需求更改,但接下來的例子中, 也要記得修改相對應的地方。 建立模版 本節將逐步介紹如何建立 jail 要用的唯讀主模版。 建議先把 &os; 系統升級到最新的 -RELEASE 分支,至於如何做請參閱 Handbook 的 相關章節。 當更新完成之後,就要進行 buildworld 程序,此外還要裝 sysutils/cpdup 套件。 我們將用 &man.portsnap.8; 來下載 &os; Ports Collection, 在 Handbook 中 有相關介紹,初學者可以看看。 首先,先建立唯讀的目錄結構給 jail 放 &os; binary, 接著到 &os; source tree 目錄,並安裝 jail 模版: &prompt.root; mkdir -p /home/j/mroot &prompt.root; cd /usr/src &prompt.root; make installworld DESTDIR=/home/j/mroot 接著跟 &os; source tree 一樣,也把 &os; Ports Collection 放一份供 jail 使用,以備 mergemaster &prompt.root; cd /home/j/mroot &prompt.root; mkdir usr/ports &prompt.root; portsnap -p /home/j/mroot/usr/ports fetch extract &prompt.root; cpdup /usr/src /home/j/mroot/usr/src 建立可讀寫部分的骨架: &prompt.root; mkdir /home/j/skel /home/j/skel/home /home/j/skel/usr-X11R6 /home/j/skel/distfiles &prompt.root; mv etc /home/j/skel &prompt.root; mv usr/local /home/j/skel/usr-local &prompt.root; mv tmp /home/j/skel &prompt.root; mv var /home/j/skel &prompt.root; mv root /home/j/skel mergemaster 來裝漏掉的設定檔。 接下來刪除 mergemaster 所建立的多餘目錄: &prompt.root; mergemaster -t /home/j/skel/var/tmp/temproot -D /home/j/skel -i &prompt.root; cd /home/j/skel &prompt.root; rm -R bin boot lib libexec mnt proc rescue sbin sys usr dev 現在把可讀寫的檔案系統以 symlink 方式連到唯讀的檔案系統。 請確認 symbolic link 是否有正確連到 s/ 目錄,若目錄建立方式不對, 或指向位置不對,可能會導致安裝失敗。 &prompt.root; cd /home/j/mroot &prompt.root; mkdir s &prompt.root; ln -s s/etc etc &prompt.root; ln -s s/home home &prompt.root; ln -s s/root root &prompt.root; ln -s ../s/usr-local usr/local &prompt.root; ln -s ../s/usr-X11R6 usr/X11R6 &prompt.root; ln -s ../../s/distfiles usr/ports/distfiles &prompt.root; ln -s s/tmp tmp &prompt.root; ln -s s/var var 最後則是新增 /home/j/skel/etc/make.conf ,並填入以下內容: WRKDIRPREFIX?= /s/portbuild 要設定 WRKDIRPREFIX 才可以讓各 jail 得以順利編譯 &os; ports。請記住 ports 目錄是屬唯讀檔案系統。 而搭配自訂的 WRKDIRPREFIX 才可以讓各 jail 在可讀寫空間進行編譯。 建立 Jail 現在已經有完整的 &os; jail 模版,可以在 /etc/rc.conf 內做相關設定。 下面這例子則示範如何建立 3 個 jail:NSMAILWWW /etc/fstab 加上下列設定, 以便讓系統自動掛載各 jail 所需的唯讀模版與讀寫空間: /home/j/mroot /home/j/ns nullfs ro 0 0 /home/j/mroot /home/j/mail nullfs ro 0 0 /home/j/mroot /home/j/www nullfs ro 0 0 /home/js/ns /home/j/ns/s nullfs rw 0 0 /home/js/mail /home/j/mail/s nullfs rw 0 0 /home/js/www /home/j/www/s nullfs rw 0 0 分割區的 pass number 標示為 0 就不會在開機時做 &man.fsck.8; 檢查;而分割區的 dump number 標示為 0 則不會被 &man.dump.8; 所備份。 我們並不希望 fsck 檢查 nullfs 的掛載,或者讓 dump 備份 jail 內唯讀的 nullfs 掛載。 這也就是為何上述 fstab 每行設定後面都有兩欄為 0 0 /etc/rc.conf 內設定 jail: jail_enable="YES" jail_set_hostname_allow="NO" jail_list="ns mail www" jail_ns_hostname="ns.example.org" jail_ns_ip="192.168.3.17" jail_ns_rootdir="/usr/home/j/ns" jail_ns_devfs_enable="YES" jail_mail_hostname="mail.example.org" jail_mail_ip="192.168.3.18" jail_mail_rootdir="/usr/home/j/mail" jail_mail_devfs_enable="YES" jail_www_hostname="www.example.org" jail_www_ip="62.123.43.14" jail_www_rootdir="/usr/home/j/www" jail_www_devfs_enable="YES" 之所以要把 jail_name_rootdir/home 改為 /usr/home 的原因在於 &os; 預設安裝的 /home 目錄其實只是指向 /usr/home 的 symbolic link。 而 jail_name_rootdir 變數須為 實體目錄 而非 symbolic link, 否則 jail 會拒絕啟動。 可以用 &man.realpath.1; 來決定該變數。 詳情請參閱 &os;-SA-07:01.jail 安全通告。 替每個 jail 建立必須的唯讀檔案系統掛載點: &prompt.root; mkdir /home/j/ns /home/j/mail /home/j/www 為每個 jail 安裝可讀寫的模版。 請注意這時要用 sysutils/cpdup ,它能確保每個目錄都有正確複製。 &prompt.root; mkdir /home/js &prompt.root; cpdup /home/j/skel /home/js/ns &prompt.root; cpdup /home/j/skel /home/js/mail &prompt.root; cpdup /home/j/skel /home/js/www 如此一來就已完成 jail 環境建立,可以準備好要用了。 請先為各 jail 掛載所須的檔案系統,再用 /etc/rc.d/jail script 來啟動: &prompt.root; mount -a &prompt.root; /etc/rc.d/jail start 現在 jail 應該就會啟動了。 若要檢查是否有正常啟動,可以用 &man.jls.8; 指令來看,該指令的執行結果應該類似下面: &prompt.root; jls JID IP Address Hostname Path 3 192.168.3.17 ns.example.org /home/j/ns 2 192.168.3.18 mail.example.org /home/j/mail 1 62.123.43.14 www.example.org /home/j/www 此時就可以登入各 jail 並新增帳號與設定相關 service 要用的 daemon 。 上面的 JID 欄代表正在運作中的 jail 編號。 可用下列指令以在 JID 編號 3 的 jail 執行管理工作: &prompt.root; jexec 3 tcsh 升級 有時由於安全問題或者 jail 內要用新功能,而需要把 &os; 系統升級到更新。 這種安裝設計方式讓既有的 jail 升級變得更加容易。 jail 也可以把 service 停機時間(downtime)降到最低,因為 jail 只需在最後關鍵才需要重開。 此外,萬一新版有問題的話, 它也提供輕鬆回溯到舊版的功能。 首先是照一般方式來升級 host system,再新增臨時的唯讀模版 /home/j/mroot2 &prompt.root; mkdir /home/j/mroot2 &prompt.root; cd /usr/src &prompt.root; make installworld DESTDIR=/home/j/mroot2 &prompt.root; cd /home/j/mroot2 &prompt.root; cpdup /usr/src usr/src &prompt.root; mkdir s 同樣地,在執行 installworld 時會建立一些用不著的目錄,請把這些砍掉: &prompt.root; chflags -R 0 var &prompt.root; rm -R etc var root usr/local tmp 重新建立到主系統的可讀寫空間 symlink: &prompt.root; ln -s s/etc etc &prompt.root; ln -s s/root root &prompt.root; ln -s s/home home &prompt.root; ln -s ../s/usr-local usr/local &prompt.root; ln -s ../s/usr-X11R6 usr/X11R6 &prompt.root; ln -s s/tmp tmp &prompt.root; ln -s s/var var 現在可以關閉 jail: &prompt.root; /etc/rc.d/jail stop 卸載原先的檔案系統: &prompt.root; umount /home/j/ns/s &prompt.root; umount /home/j/ns &prompt.root; umount /home/j/mail/s &prompt.root; umount /home/j/mail &prompt.root; umount /home/j/www/s &prompt.root; umount /home/j/www 可讀寫空間(/s) 是掛載在唯讀檔案系統底下,故要先卸載。 把舊的唯讀系統搬走,換成新的。 如此一來, 可同時保留先前系統的備份,以備萬一升級後有問題可回復。 這邊的命名方式採新唯讀檔案系統的建立時間,此外原先 &os; Ports Collection 直接搬到新的檔案系統,以節省硬碟空間與 inode : &prompt.root; cd /home/j &prompt.root; mv mroot mroot.20060601 &prompt.root; mv mroot2 mroot &prompt.root; mv mroot.20060601/usr/ports mroot/usr 現在新的唯讀模版準備好了,只剩下重新掛載以及啟動 jail: &prompt.root; mount -a &prompt.root; /etc/rc.d/jail start 最後以 &man.jls.8; 來檢查 jail 是否均正常啟動。 別忘了要在各 jail 內執行 mergemaster,還有相關設定檔以及 rc.d scripts 均要更新。