用Solaris架设FTP虚拟服务器

作者: 出处:中文UNIX　 ( ) 砖 ( ) 好评论 ( ) 条　进入论坛

更新时间：2005-09-08 10:52
关键词：服务器 Solaris
阅读提示：强制使用者连线时已在虚拟服务器系统中，即使入侵者透过漏洞取得root权限，亦会被限制於虚拟服务器系统中，将难以破坏原本的服务器系统，如此可将服务器系统损害降低。

1、何谓虚拟服务器系统
"虚拟系统"的意思是"假的系统"，亦即当一个使用者使用的是"虚拟系统"时，他所看到的系统档案及程式，并不是系统管理者所使用的档案。
例如管理者键入"ls -al /usr/bin/ls"的命令时，看到的档案大小为32767 bytes，而其他使用者键入"ls -al /usr/bin/ls"的命令时，看到的却为65535 bytes，表示为两个档案的路径虽然相同，但却为不同的档案。
2、虚拟系统的功能为何
(1) 避免其它使用者使用重要资料
若您不愿意让使用者观看或执行某些档案，那你可以使用虚拟系统，让使用者看不到特定的档案，或是创造另一个与真正档案内容不同的档案。
(2) 增加系统安全性
若您必须开放使用者登入机器，又害怕使用者利用系统内部的漏洞取得额外的权限，破坏系统设定与窃取资料，使用虚拟系统将可以保护系统的资料与系统运作，让恶意的使用者只能做到有限的破坏。
3、如何以Solaris架设虚拟系统
其实所谓的"虚拟系统"，主要是利用chroot(Change Root)来达成，亦即改变根目录的位置，而使得系统对应到一新的系统设定中。
要达到这个目的，大致上可分为两种方法，一是修改程式码，另外一个则是用系统本身的命令来达成。
在此我们并不打算详细说明有关修改程式码的部份如何做，简单的说，程式部份主要是利用chroot()这个C函式来改变根目录的位置，较为麻烦的地方在於你可能要修改inetd程式或其它网路服务程式，当然你也可以自己写这些程式，不过不是每个管理者都对攒写程式有兴趣的。
但不论你采用哪一种方法，有一件事是都需要做的，那就是创造一个虚拟的系统环境。以下简单列出如何在"/vs"这个目录下，创造一个新的系统环境，并且不修改程式来启动虚拟系统的服务:
tar -cf /system.tar /var /usr /etc /dev /devices
将系统中的/var, /usr, /etc, /dev, /devices压入system.tar这个档。
tar -xf /system.tar /vs
将system.tar这个档的资料解开放在/vs目录下。
以上两行指令便能系统的档案到"/vs"目录去，此时当你下达"chroot /vs/usr/bin/sh"指令时，将会得到和原本系统相似的环境。而在这样的环境中，使用者不结束目前的shell(chroot後所得的的 shell)是无法藉由任何指令返回原来的系统的。
然而事实上你不需要全部的系统档案到"虚拟系统"去，只要所需的档案即可。至於什麽是所需的档案，端看你安装了哪些服务。底下所列为在"/vs"中创造FTP的"虚拟系统"做法:
(1)"虚拟系统"中的"/etc"目录
创造"虚拟系统"中的"/etc"目录，以放置密码及设定档。
mkdir /vs/etc
设定"虚拟系统"中的"/etc/inetd.conf"档。
echo "ftp stream tcp nowait root /usr/sbin/in.ftpd
in.ftpd" > /vs/etc/inetd.conf
设定"虚拟系统"中的"/etc/passwd"档。
echo "root:x:0:1:Super-User:/:/usr/bin/tcsh" > /vs/etc/passwd
echo "ftp:x:60:60:Anonymous Ftp:/:/dev/null" >> /vs/etc/passwd
设定"虚拟系统"中的"/etc/shadow"档。
echo "root:NP:6445::::::" > /vs/etc/shadow
echo "ftp:NP:6445::::::" >> /vs/etc/shadow
(2) "虚拟系统"中的"/var"目录
创造"虚拟系统"中的"/var"目录，以放置系统记录档。
mkdir /vs/var
mkdir /vs/var/adm
(3) "虚拟系统"中的"/usr"目录
创造"虚拟系统"中的"/var"目录，以放置系统程式及程式库。
mkdir /vs/usr
mkdir /vs/usr/bin
mkdir /vs/usr/sbin
mkdir /vs/usr/lib
从"/usr/lib"拷贝下列档案至"/vs/usr/lib"
ld.so.1
libauth.so.1
libbsm.so.1
libc.so.1
libcmd.so.1
libcrypt_i.so.1
libdl.so.1
libgen.so.1
libmp.so.1
libmp.so.2
libnsl.so.1
libsocket.so.1
nss_files.so.1
从"/usr/bin"拷贝下列档案至"/vs/usr/bin"
*ls
从"/usr/sbin"拷贝下列档案至"/vs/usr/sbin"
*in.ftpd (FTP伺服器程式)
*inetd (Internet Super Daemon)
(4)"虚拟系统"中的"/dev"与"/devices"目录
作"/dev"、"/devices"的tar档。
tar -cf /dev.tar /dev /devices
将tar档解至"/vs"目录下。
tar -xf /dev.tar /vs
删除tar档
rm /dev.tar
(5)启动服务
chroot /vs /usr/sbin/inetd -s
此步骤须注意是否关闭原始系统中inetd.conf的ftp选项，否则无法正常启动。
4、结语
有人或许会问，anonymous ftp本身就有做chroot的动作，为何还要自己做一个虚拟系统呢? 事实上，FTP服务若有漏洞，入侵者可透过漏洞取得root权限，此时anonymous ftp的chroot未必会被执行，若未执行chroot，那整个系统就暴露在入侵者眼前，但若你做了虚拟系统，将强制使用者连线时已在虚拟系统中，即使入侵者透过漏洞取得root权限，亦会被限制於虚拟系统中，将难以破坏原本的系统，如此可将系统损害降低。

滚动新闻　术语词典　问题悬赏

发表

共条查看

评价

叫个好

拍一砖

相关

专题

文档

·Solaris 内核结构（第2版）
·服务器基础知识入门
·网络服务器配置与应用（第3版）
·Linux服务器安全策略详解
·网管员必读—服务器与数据存储

·IDC分析师惊呼：Sun率Solaris杀回来了
·Sun公司将推出256个线程的服务器
·Sun Solaris Sun Update Connection代理..
·IBM为刀片服务器配备Solaris系统
·IBM、Sun合作 Solaris将入驻IBM刀片式服..

相关

博客

帖子

·HTTP 500 - 内部服务器错误修复工具
·DNS服务器配置图解过程(2)
·RedHat AS 4.0 DNS服务器配置示例
·DNS服务器配置图解过程(1)
·ISA服务器的日志问题

·怎么才能找到一个好的服务器公司？不看..
·▲▲▲价格也能帮你选择虚拟空间服务器..
·服务器内存的选择？
·◆◢◤◆●飞宇科技●服务器租用/托管/S..
·福建服务器租用.四川服务器租用.重庆服..

相关

白皮书

资料

·怎么学习linux服务器知识
·Cisco：借助数据中心交换产品保障服务器..
·分析NetApp的Windows文件服务器整合解决..
·Solaris Operating Environment Security
·Solaris Operating Environment Network..

·win2003server域控服务器安装及设置
·满分力作：鸟哥的 Linux 私房菜提高篇 ..
·服务器实战专家
·无路由、无服务器也能共享ADSL上网
·服务器知识

相关

讨论组

技术人

·嵌入式
·爱生活爱网络
·阿刘办公设备维修
·综合布线技术交流
·僖哈组

我也说两句

中国领先的 IT 技术网站 ·
技术成就梦想

·服务器基础知识入门
·Rambus第二？看全缓冲内存何去何从

· 从实习生到英特尔全球..
· “摩尔定律”与自主创新
· Google将推脱机版Gmail..
· 双机MSCS安装配置手册(..
· 双机MSCS安装配置手册..
· 双机MSCS安装配置手册..

· 鲁毅智：英特尔非法打..
· 东芝拟推流处理器欲与..
· 惠普批准新薪酬政策解..
· 怎么才能找到一个好的..
· ▲▲▲价格也能帮你选..
· 服务器内存的选择？

排行榜

·刀片服务器 (查看12252次)
·多核服务器技术 (查看6010次)
·服务器性能测试典型工具介绍 (查看5940次)
·网吧电影服务器解决方案完全指南 (查看5280次)
·经济实惠：组建P2P电影服务器 (查看4151次)

·网站服务器的选型 (2040个砖)
·刀片服务器 (280个砖)
·专访SWsoft(中国) CEO：虚拟化帮你找回失去的资源 (251个砖)
·“牛刀要杀鸡” IBM大型机服务器闯进中小企业视野 (169个砖)
·雅虎网站服务器从美国搬至中国案例 (127个砖)

·刀片服务器 (233个好)
·专访SWsoft(中国) CEO：虚拟化帮你找回失去的资源 (232个好)
·“牛刀要杀鸡” IBM大型机服务器闯进中小企业视野 (178个好)
·1U AMD双核服务器制作实录 (141个好)
·网站服务器被入侵的过程记录 (138个好)

·服务器基础知识入门 (09月)
·龙芯要做中国的“奔腾” (08月)
·全球刮起服务器节能风 (04月)
·四核服务器抢鲜透视 (03月)
·行业应用服务器案例精选(一) (02月)

·网络应用趣味技术自测：从DNS到Mai..
·一台电脑上安装145个操作系统

· 网络应用趣味技术自测..
· Oracle 11g Linux正式..
· 微软整合Windows Live..
· 鲁毅智：英特尔的非法..
· 中兴声明对菲总统禁令..
· 从交换机原理看网络广..
· 开源软件启用Java的新..
· 7种选择描绘AMD忐忑前途

· 熊猫烧香制造者今日受..
· 微软推新Live Search抗..
· 专家教你写简历系列之..
· Active Directory中的..
· 思科交换机上实现MAC地..
· 微软向OEM厂商提供XP恢..
· ARP攻防实例一：用Sinf..
· 成功DBA的管理心得

订阅技术快讯

电子杂志下载

名称：网络安全精品应用黄皮书
简介：《2007精品网络安全黄皮书》包括了9个大类24个小类， 800余篇文章，内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范，涉及到了安全应用的全部领域, 由浅至深内容全面。

名称：Vista精品应用黄皮书
简介：《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版，是将里面的内容做了提取，便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册，并且也是第一本

名称：2006中国IT论坛精品集合
简介：本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛（网站）。制作本书的目的是为了集中大家的优势资源，将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。

专题

最多好

最多砖

DB2 9技术资源中.. 推荐阅读
·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与..	·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML：如何..
51CTO.com编辑部.. 推荐阅读
·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看..	· ·

白璐的博客
·将职业教育职业化 - 各IT.. ·思科交换机上实现MAC地址..	·关于51CTO合作出书中的职.. ·OSPF动态路由协议入门简介
杨文飞的博客
·9月第3周回顾：微软和英.. ·9月第2周回顾：四核之战..	·9月第1周回顾：微软国际.. ·什么样的文章更容易被编..

组网建网	安全频道
· NGN:下一代网络 · 网络访问中断大排查 · FTTx光纤接入	· 平凡黑客讲述精彩人生（.. · 平凡黑客讲述精彩人生（.. · 平凡黑客讲述精彩人生（..
编程频道	前沿技术
· C++是垃圾语言？！ · 2007年IT界七大抄袭事件 · Java实用开发全集	· 解析Ajax开发框架走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax..
操作系统	服务器
· Ubuntu 中文开源频道 · Solaris基础知识入门 · 微软正式发布英文版Wind..	· 服务器基础知识入门 · Rambus第二？看全缓冲内.. · 服务器节能对比测试：AM..
数据库	存储频道
· 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教..	· 存储2006，一个并购的大.. · IDC宣布浪潮蝉联存储市.. · 双机热备技术