1.何谓虚拟系统
“虚拟系统”的意思是”假的系统”,亦即当一个使用者使用的是”虚拟系统”时,他所看到的系统档案及程式,并不是系统管理者所使用的档案。
例如管理者键入”ls -al /usr/bin/ls”的命令时,看到的档案大小为32767bytes,而其他使用者键入”ls -al /usr/bin/ls”的命令时,看到的却为65535bytes,表示为两个档案的路径虽然相同,但却为不同的档案。
2.虚拟系统的功能为何
(1) 避免其他使用者使用重要资料若您不愿意让使用者观看或执行某些档案,那您能够使用虚拟系统,让使用者看不到特定的档案,或是创造另一个和真正档案内容不同的档案。
(2) 增加系统安全性
若您必须开放使用者登入机器,又害怕使用者利用系统内部的漏洞取得额外的权限,破坏系统设定和窃取资料,使用虚拟系统将能够保护系统的资料和系统运作,让恶意的使用者只能做到有限的破坏。
3.如何以Solaris架设虚拟系统
其实所谓的”虚拟系统”,主要是利用chroot(Change Root)来达成,亦即改变根目录的位置,而使得系统对应到一新的系统设定中。
要达到这个目的,大致上可分为两种方法,一是修改程式码,另外一个则是用系统本身的命令来达成。
在此我们并不打算周详说明有关修改程式码的部份如何做,简单的说,程式部份主要是利用chroot()这个C函式来改变根目录的位置,较为麻烦的地方在於您可能要修改inetd程式或其他网路服务程式,当然您也能够自己写这些程式,但是不是每个管理者都对攒写程式有兴趣的。
但不论您采用哪一种方法,有一件事是都需要做的,那就是创造一个虚拟的系统环境。以下简单列出如何在”/vs”这个目录下,创造一个新的系统环境,并且不修改程式来启动虚拟系统的服务:
tar -cf /system.tar /var /usr /etc /dev /devices
将系统中的/var, /usr, /etc, /dev, /devices压入system.tar这个档。
tar -xf /system.tar /vs
将system.tar这个档的资料解开放在/vs目录下。
以上两行指令便能系统的档案到”/vs”目录去,此时当您下达”chroot /vs/usr/bin/sh”指令时,将会得到和原本系统相似的环境。而在这样的环境中,使用者不结束现在的shell(chroot後所得的的shell)是无法藉由任何指令返回原来的系统的。
然而事实上您无需全部的系统档案到”虚拟系统”去,只要所需的档案即可。至於什麽是所需的档案,端看您安装了哪些服务。底下所列为在”/vs”中创造FTP的”虚拟系统”做法:
(1)”虚拟系统”中的”/etc”目录
创造”虚拟系统”中的”/etc”目录,以放置密码及设定档。
mkdir /vs/etc
设定”虚拟系统”中的”/etc/inetd.conf”档。
echo “ftp stream tcp nowait root /usr/sbin/in.ftpd
in.ftpd” > /vs/etc/inetd.conf
设定”虚拟系统”中的”/etc/passwd”档。
echo “root:x:0:1:Super-User:/:/usr/bin/tcsh” > /vs/etc/passwd
echo “ftp:x:60:60:Anonymous Ftp:/:/dev/null” >> /vs/etc/passwd
设定”虚拟系统”中的”/etc/shadow”档。
echo “root:NP:6445::::::” > /vs/etc/shadow
echo “ftp:NP:6445::::::” >> /vs/etc/shadow
(2) “虚拟系统”中的”/var”目录
创造”虚拟系统”中的”/var”目录,以放置系统记录档。
mkdir /vs/var
mkdir /vs/var/adm
(3) “虚拟系统”中的”/usr”目录
创造”虚拟系统”中的”/var”目录,以放置系统程式及程式库。
mkdir /vs/usr
mkdir /vs/usr/bin
mkdir /vs/usr/sbin
mkdir /vs/usr/lib
从”/usr/lib”拷贝下列档案至”/vs/usr/lib”
ld.so.1
libauth.so.1
libbsm.so.1
libc.so.1
libcmd.so.1
libcrypt_i.so.1
libdl.so.1
libgen.so.1
libmp.so.1
libmp.so.2
libnsl.so.1
libsocket.so.1
nss_files.so.1
从”/usr/bin”拷贝下列档案至”/vs/usr/bin”
*ls
从”/usr/sbin”拷贝下列档案至”/vs/usr/sbin”
*in.ftpd (FTP伺服器程式)
*inetd (Internet Super Daemon)
(4)”虚拟系统”中的”/dev”和”/devices”目录
作”/dev”、”/devices”的tar档。
tar -cf /dev.tar /dev /devices
将tar档解至”/vs”目录下。
tar -xf /dev.tar /vs
删除tar档
rm /dev.tar
(5)启动服务
chroot /vs /usr/sbin/inetd -s
此步骤须注意是否关闭原始系统中inetd.conf的ftp选项,否则无法正常启动。
4.结语
有人或许会问,anonymous ftp本身就有做chroot的动作,为何还要自己做一个虚拟系统呢? 事实上,FTP服务若有漏洞,入侵者可透过漏洞取得root权限,此时anonymous ftp的chroot未必会被执行,若未执行chroot,那整个系统就暴露在入侵者眼前,但若您做了虚拟系统,将强制使用者连线时已在虚拟系统中,即使入侵者透过漏洞取得root权限,亦会被限制於虚拟系统中,将难以破坏原本的系统,如此可将系统损害降低。
至於其他的服务如何在虚拟系统中启动,方法和步骤是相似的。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
保障虚拟系统的十个绝招
随着企业更多的从物理平台转向虚拟化,云服务的创建和部署也越来越方便,安全就成了一个头等重要的问题。那么,在云环境下,如何有效地保护虚拟系统呢?
-
甲骨文新SPARC服务器 Java能效增20%
甲骨文宣称,T4处理器的能效超越英特尔最高的2.67GHz Xeon E7系列处理器,在大型Java应用运行能效上,平均每个处理器也提高了20%的运行能效。
-
甲骨文SPARC T4 欲挽回Sun工作站的心
对于使用Sun的硬件的工作站们来说,甲骨文新的SPARC T4服务器也许是件好事,他们可以将其插入Solaris环境。但是,他们是否想这么做呢?
-
Oracle原厂支持怨声载道 影响Solaris虚拟化进程
用户对针对配备Sparc 2.1,过去被叫做Solaris逻辑域(LDoms),具备在线迁移功能的Oracle VM(虚拟化)已经热情不再。