天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧系统 >> 正文

如何以Solaris架设FTP虚拟系统

2008-4-8LinuxSir佚名

1、何谓虚拟系统
  虚拟系统的意思是假的系统,亦即当一个使用者使用的是虚拟系统时,他所看到的系统档案及程式,并不是系统管理者所使用的档案。
  例如管理者键入ls -al /usr/bin/ls的命令时,看到的档案大小为32767 bytes,而其他使用者键入ls -al /usr/bin/ls的命令时,看到的却为65535 bytes,表示为两个档案的路径虽然相同,但却为不同的档案。
2、虚拟系统的功能为何
  (1) 避免其它使用者使用重要资料
  若您不愿意让使用者观看或执行某些档案,那你可以使用虚拟系统,让使用者看不到特定的档案,或是创造另一个与真正档案内容不同的档案。
  (2) 增加系统安全性
  若您必须开放使用者登入机器,又害怕使用者利用系统内部的漏洞取得额外的权限,破坏系统设定与窃取资料,使用虚拟系统将可以保护系统的资料与系统运作,让恶意的使用者只能做到有限的破坏。
3、如何以Solaris架设虚拟系统
  其实所谓的虚拟系统,主要是利用chroot(Change Root)来达成,亦即改变根目录的位置,而使得系统对应到一新的系统设定中。
  要达到这个目的,大致上可分为两种方法,一是修改程式码,另外一个则是用系统本身的命令来达成。
  在此我们并不打算详细说明有关修改程式码的部份如何做,简单的说,程式部份主要是利用chroot()这个C函式来改变根目录的位置,较为麻烦的地方在於你可能要修改inetd程式或其它网路服务程式,当然你也可以自己写这些程式,不过不是每个管理者都对攒写程式有兴趣的。
 但不论你采用哪一种方法,有一件事是都需要做的,那就是创造一个虚拟的系统环境。以下简单列出如何在/vs这个目录下,创造一个新的系统环境,并且不修改程式来启动虚拟系统的服务:
    tar -cf /system.tar /var /usr /etc /dev /devices
  将系统中的/var, /usr, /etc, /dev, /devices压入system.tar这个档。
    tar -xf /system.tar /vs
  将system.tar这个档的资料解开放在/vs目录下。
  以上两行指令便能系统的档案到/vs目录去,此时当你运行chroot /vs/usr/bin/sh时,将会得到和原本系统相似的环境。而在这样的环境中,使用者不结束目前的shell(chroot後所得的的shell)是无法藉由任何指令返回原来的系统的。
  然而事实上你不需要全部的系统档案到虚拟系统去,只要所需的档案即可。至於什麽是所需的档案,端看你安装了哪些服务。底下所列为在/vs中创造FTP的虚拟系统做法:
 
  (1)虚拟系统中的/etc目录
  创造虚拟系统中的/etc目录,以放置密码及设定档。
    mkdir /vs/etc
  设定虚拟系统中的/etc/inetd.conf档。
    echo ftp  stream tcp  nowait root /usr/sbin/in.ftpd 
    in.ftpd > /vs/etc/inetd.conf
  设定虚拟系统中的/etc/passwd档。
    echo root:x:0:1:Super-User:/:/usr/bin/tcsh > /vs/etc/passwd
    echo ftp:x:60:60:Anonymous Ftp:/:/dev/null >> /vs/etc/passwd
  设定虚拟系统中的/etc/shadow档。
    echo root:NP:6445:::::: > /vs/etc/shadow
    echo ftp:NP:6445:::::: >> /vs/etc/shadow
  (2) 虚拟系统中的/var目录
  创造虚拟系统中的/var目录,以放置系统记录档。
    mkdir /vs/var
    mkdir /vs/var/adm
  (3) 虚拟系统中的/usr目录
  创造虚拟系统中的/var目录,以放置系统程式及程式库。
  mkdir /vs/usr
  mkdir /vs/usr/bin
  mkdir /vs/usr/sbin
  mkdir /vs/usr/lib
  从/usr/lib拷贝下列档案至/vs/usr/lib
  ld.so.1
  libauth.so.1
  libbsm.so.1
  libc.so.1
  libcmd.so.1
  libcrypt_i.so.1
  libdl.so.1
  libgen.so.1
  libmp.so.1
  libmp.so.2
  libnsl.so.1
  libsocket.so.1
  nss_files.so.1
  从/usr/bin拷贝下列档案至/vs/usr/bin
  *ls
  从/usr/sbin拷贝下列档案至/vs/usr/sbin
  *in.ftpd (FTP伺服器程式)
  *inetd (Internet Super Daemon)
  (4)虚拟系统中的/dev与/devices目录
  作/dev、/devices的tar档。
  tar -cf /dev.tar /dev /devices
  
  将tar档解至/vs目录下。
  tar -xf /dev.tar /vs
  删除tar档
  rm /dev.tar
  (5)启动服务
  chroot /vs /usr/sbin/inetd -s
  此步骤须注意是否关闭原始系统中inetd.conf的ftp选项,否则无法正常启动。
4、结语
  有人或许会问,anonymous ftp本身就有做chroot的动作,为何还要自己做一个虚拟系统呢? 事实上,FTP服务若有漏洞,入侵者可透过漏洞取得root权限,此时anonymous ftp的chroot未必会被执行,若未执行chroot,那整个系统就暴露在入侵者眼前,但若你做了虚拟系统,将强制使用者连线时已在虚拟系统中,即使入侵者透过漏洞取得root权限,亦会被限制於虚拟系统中,将难以破坏原本的系统,如此可将系统损害降低。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:LinuxSir 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行