Практический пример размещения приложения/сервиса в chroot окружении.
# определим загружаемые библиотеки
cd /[path_to_nginx]/
ldd nginx
libcrypt.so.1 => /lib/libcrypt.so.1 (0xb7eb1000)
libdl.so.2 => /lib/libdl.so.2 (0xb7eac000)
...
libexpat.so.0 => /lib/libexpat.so.0 (0xb775b000)
# копируем все библиотеки в /jail
mkdir -p /jail/lib/ && cd /jail/lib/
cp /lib/libcrypt.so.1 .
cp /lib/libdl.so.2 .
...
cp /lib/libexpat.so.0 .
# копируем все необходимые файлы используемые приложением
cd /[path_to_nginx]/
strace ./nginx 2>&1 | grep open
open("/etc/ld.so.cache", O_RDONLY) = 4
open("/usr/lib/libxml2.so.2", O_RDONLY) = 4
...
open("/usr/local/nginx/conf/nginx.conf", O_RDONLY|O_LARGEFILE)=4
# внутри jail структура каталогов должна повторять текущее положение
mkdir -p /jail/etc/ && cd /jail/etc/ && cp /etc/ld.so.cache .
mkdir -p /jail/usr/lib/ && cd /jail/usr/lib/ && cp /usr/lib/libxml2.so.2 .
...
mkdir -p /jail/usr/local/nginx/conf/ && cd /jail/usr/local/nginx/conf/ &&
cp /usr/local/nginx/conf/nginx.conf .
#создаем null устройство
mkdir -p /jail/dev/
mknod /jail/dev/null c 1 3
chmod 666 /jail/dev/null
#- если нужны другие устройства (для других сервисов)
#JAILPATH=/jail
#mknod -m 666 $JAILPATH/dev/urandom c 1 9
#mknod -m 666 $JAILPATH/dev/null c 1 3
#mknod -m 666 $JAILPATH/dev/zero c 1 5
#mknod -m 666 $JAILPATH/dev/tty c 5 0
# запускаем nginx в jail (тюрьме)
chroot /jail/ /sbin/nginx
PS:
Помещение приложения в jail не исключает побега из созданной тюрьмы.
Комментариев нет:
Отправить комментарий