The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Chroot окружение

   Корень / Программы для администратора / Безопасность / Chroot окружение

!!!-* Linux-VServer - Linux kernel-based virtual servers (Версия: 2.02 от 2006-09-05) [+]
[обсудить]
 Патч для Linux ядра и набор утилит для создания изолированных друг от друга окружений (contexts - контексты) имеющих свой IP адрес, базу пользователей (включая root), квоты на дисковое пространство и оперативную память.
  • vserver - предшественник проекта.
  • FreeVPS - расширение и дополнение на базе утилит и патчей VServer, улучшения: квоты на размер ОЗУ, число процессов, tcp-сокетов и файловых дескрипторов, дисковые квоты, шаринг файлов между контекстами, дополнительные утилиты по контролю контекстов, полная интеграция с H-Sphere Control Panel
  •  
    rus-* VXE - Virtual eXecuting Environment [+]
    [обсудить]
     Система представляющая из себя "оболочку" для программ выполняемых под root привелегиями и призванная защитить систему от ошибок в этих программах, которые могут привести к несанкционированному доступу. Системные вызовы производимые программой запущенной под VXD проверяются (для приложения описывается ACL) и при необходимости блокируются (возможность читать писать определенные файлы, принимать или создавать сетевые соединения по определенным портам и т.д.) Интересной особенностью VXD является возможность контроля работы пользовательских CGI скриптов.
     
    ----* OpenStack - open source software to build private and public clouds [+]
    [обсудить]
     Платформа для развертывания приватных и публичных cloud-сервисов, подобных Amazon EC2, и способной обслуживать инфраструктуру из тысяч виртуальных серверов. В настоящий момент в рамках проекта развиваются два продукта: распределенное, отказоустойчивое и высоконадежное хранилище объектов OpenStack Object Storage и инструментарий OpenStack Compute, позволяющий автоматически создавать и управлять работой больших групп VPS-серверов. Подробнее о возможностях OpenStack можно прочитать в анонсе открытия кода проекта.

    Изначально платформа была разработана и открыта под лицензией Apache компанией Rackspace и космическим агентством NASA. Позднее к работе над проектом присоединилось около 50 компаний, среди которых Citrix, Dell, Cloud.com, Puppet Lab, AMD, Intel, rPath, Vyatta, EnterpriseDB, NTT. В отличие от платформы Eucalyptus, проект OpenStack не подконтролен отдельным компаниям и управляется независимым сообществом, без разделения на открытую community-версию и закрытую расширенную enterprise-редакцию. При этом OpenStack изначально лишен некоторых проблем с масштабируемостью, наблюдаемых в Eucalyptus.

     
    ----* isolate - Utility for isolating Unix processes, minimizing their privilege [+]
    [обсудить]
     Утилита, предназначенная для организации изолированного выполнения приложений с минимальными привилегиями и ограниченным доступом к X-серверу. Идея по созданию isolate возникла после того, как автор проекта столкнулся с уязвимостью в медиа-плеере, позволяющей выполнить код после открытия специально оформленного MP3-файла. Задача isolate - обеспечить возможность защиты системы при выполнении неблагонадежных программ или при обработке полученного из недоверительных источников контента.

    В отличие от похожих по возможностям аналогов, например, завязанной на SELinux утилиты sandbox, isolate является многоплатформенным приложением, одинаково хорошо работающим как в Linux, так и во FreeBSD. Для обеспечения изоляции в isolate использован метод динамического формирования chroot-окружения, предложенный Daniel J. Bernstein в главе 5.2 документа "Размышления о безопасности через 10 лет после выхода qmail 1.0".

    Перед запуском процесса, isolate анализирует список задействованных для работы подконтрольной программы библиотек, программ и файлов, после чего автоматически формируется chroot-окружение. Пользователь имеет возможность вручную указать дополнительные директории для помещения в создаваемый chroot, ограничить доступный объем памяти, максимальное число открытых файлов и запущенных процессов, что позволяет, например, быстро сформировать окружение для запуска подозрительного shell скрипта. Процесс под управлением isolate выполняется под идентификатором несуществующего в системе пользователя.

     
    ----* QEMU - open source machine emulator and virtualizer. (Версия: 0.9.1 от 2008-05-16) [+]
    [обсудить]
     Эмулятор аппаратного окружения, поддерживающий эмуляцию для более чем 10 процессорных архитектур. Может выступать в роли системы виртуализации: в этом случае код выполняется без эмуляции в изолированном окружении, используя возможности виртуализации современных CPU (необходимо использование модуля ядра, например KQEMU). На базе кода qemu построены такие системы виртуализации как KVM и VirtualBox.
  • AQEMU - графический интерфейс для эмулятора QEMU
  •  
    ----* Libvirt - C toolkit to interact with the virtualization capabilities (Версия: 0.4.0 от 2007-12-19) [+]
    [обсудить]
     Библиотека реализующая абстрактное API для управления виртуальными окружениями Xen, QEmu, KVM и OpenVZ. На базе данного API может быть создан единый инструмент для работы с различными VPS. Имеется интерфейсный модуль для Python.
     
    ----* Jailkit - set of utilities to limit user accounts to specific files using chroot (Версия: 2.17 от 2014-01-05) [+]
    [обсудить]
     Набор утилит для подготовки и управления chroot окружением. На входе список утилит, на выходе - все необходимое для их работы.
     
    ----* KVM - Kernel-based Virtual Machine for Linux [+]
    [есть мнение]
     Новая виртуальная машина выполненная в в виде модуля Linux ядра и набора userspace приложений. В kvm имеется поддержка встроенных в CPU аппаратных механизмов виртуализации SVM/AMD-V и Intel VT.
     
    ----* sysjail - userland virtualisation system [+]
    [обсудить]
     Система для создания изолированных окружений sysjail, представляющая собой комбинацию использования двух механизмов - systrace и chroot.

    Вначале проект задумывался как создание полностью совместимой альтернативы для FreeBSD jail под OpenBSD и NetBSD, но в процессе разработки были добавлена серия дополнительных средств аудита и ограничения ресурсов.

     
    ----* OpenVZ (Open Virtuozzo) - Operating System-level server virtualization solution [+]
    [есть мнение]
     OpenVZ - виртуализационное решение OS-уровня, построенное на базе ядра Linux. OpenVZ позволяет создавать изолированные виртуальные сервера на одном физическом сервере, позволяя более эффективно использовать его ресурсы и предотвращая возможные конфликты меду приложениями.
    Каждый виртуальный сервер работает аналогично выделенному серверу. Виртуальные сервера могут независимо друг от друга быть перегружены, имеют своих собственных пользователей и административный доступ, IP адреса, память, процессы, файлы, приложения, системные библиотеки и конфигурационные файлы.
  • русскоязычный форум по поддержке OpenVZ;
  • WebVZ - web-интерфейс (панель управления) на ruby для управления OpenVZ.
  •  
    ----* pam_chroot - Linux-PAM module that allows a user to be chrooted (Версия: 0.9.2 от 2007-10-02) [+]
    [обсудить]
     PAM модуль, позволяющий организовать запуск программ для определенного пользователя или группы в chroot окружении. Может использоваться совместно с типами auth, account и session. Поддерживает опции конфигурирования (могут быть заданы в отдельном файле конфигурации): regex маски, задание директории для помещения в chroot для каждого пользователя/группы в отдельности.
     
    ----* fakeroot - fake root environment [+]
    [обсудить]
     Позволяет запускать программы в Linux с привилегиями суперпользовтеля для выполнения любых файловых операций. Изменения видны только для запущенной под fakeroot программы, реально в системе ничего не меняется, т.е. для программы создается некая виртуальная оболочка, в которой отражаются все действия. fakeroot позволяет сохранять и подгружать подобные оболочки. Система выполнена в виде библиотеки подгружаемой через LD_PRELOAD и подменяющей файловые функции (например, getuid(), stat(),chmod() и т.д.).
     
    ----* bsdjail - Implements a subset of the BSD Jail functionality as a Linux LSM [+]
    [обсудить]
     Патч, реализующий функциональность наподобие jail в FreeBSD, используя возможности LSM (Linux Security Modules) подсистемы в Linux (для 2.6.x ядер).

    Процессы работающие в jail окружении, привязаны к определенному IP и не могут: выполнять операции монтирования, посылать сигналы внешним процессам, создавать устройства, подгружать модули ядра, управлять приоритетом выполнения, создавать raw-сокеты, использовать внешние IPC блоки и изменять настройки сетевой подсистемы. Для jail окружения создается отдельная, изолированная, иерархия /proc/. Кроме того, патчи поддерживают работу с IPv6.

     
    ----* chroot_safe - tool to chroot any dynamically linked application (Версия: 1.4 от 2005-04-12) [+]
    [обсудить]
     Подгружаемая через LD_PRELOAD библиотека, обеспечивающая смену UID и помещение в chroot окружение приложения сразу после осуществления подгрузки всех динамически слинкованных библиотек. Позволяет не заботится о помещении библиотек в chroot окружение, но не избавляет от копирования внутрь chroot конфигурационных и прочих файлов.
     
    ----* mod_chroot - running Apache in a secure chroot environment (Версия: 0.5 от 2005-06-21) [+]
    [обсудить]
     Основное назначения модуля - помещение apache в chroot окружение сразу после выполнения первичных блоков инициализации, т.е. позволяет не копировать в chroot окружения необходимые для работы apache и mod_php библиотеки, не создавать /dev, /etc/passwd и т.д. Достаточно подключить модуль, определить директивой ChrootDir корень и при необходимости создать программное окружение для выполнения CGI-скриптов.
     
    ----* Xen - virtual machine monitor (Версия: 4.1 от 2011-04-11) [+]
    [обсудить]
     Позволяет на x86 архитектуре запустить несколько изолированных друг от друга виртуальных окружений со своей операционной системой в каждом (ОС должна быть адаптирована для Xen, необходимо наложить патчи). В настоящий момент Xen лучше всего работает с Linux ядром 2.4.x/2.6.x и NetBSD, в разработке поддержка Windows XP, в планах - FreeBSD и Plan9.
  • Данный отчет показывает незначительную потерю производительности по сравнению с "чистым" запуском ОС, значительно превосходя по скорости VMware и User Mode Linux.
  •  
    ----* scponly - limited shell for secure file transfers [+]
    [обсудить]
     scponly позволяет организовать защищенное копирование файлов без возможности запуска программ и необходимости использования SSH/OpenSSH. Кроме того scponly поддерживает chroot в директорию пользователя и может принимать соединения от sftp клиентов.
     
    ----* Chroot в OpenSSH [+]
    [обсудить]
     Подборка патчей для помещения избранных пользователей в chroot окружение с входом через SSH:
  • Патч для помещения пользователей в chroot, при обнаружении маски "/./" в имени домашнего каталога в /etc/passwd (старая версия);
  • Патч для FreeBSD, помещает в chroot или jail по логину или группе;
  • Патч для помещения избранных пользователей в chroot (openssh-3.5p1). Добавляет директивы ChrootDir, ChrootAll, ChrootUsers, NoChrootUsers;
  • Патч sftp-server для запрещения выхода за рамки домашнего каталога.
  • SSHjail - патч к OpenSSH, для помещения избранных пользователей в различные chroot окружения. Настройки хранятся в /etc/sshjail.conf.
  • chroot+sftp hack - делает chroot при соединении по SFTP, если в пути к домашней директории пользователя указано /./;
  •  
    ----* BSD network stack virtualization [+]
    [обсудить]
     Патч позволяет создать на одной машине несколько полностью виртуальных, изолированных, клонов tcp/ip стека, что идеально подходит для решений виртуального хостинга в комплекте с chroot jail. Введены в систему два новых вида интерфейса "ve" - виртуальный ethernet и "vipa" - виртуальный loopback, что позволяет создавать для каждого виртуального сетевого стека независимый и разделенный набор сетевых интерфейсов, таблиц маршрутизации, net.inet sysctl переменных ядра, ipfw правил фаервола и правил ограничений трафика для dummynet. Самым интересным свойством патча, на мой взгляд, является возможность планировки и учета процессорного времени (system load and CPU usage accounting and scheduling).
     
    ----* Jail Chroot Project - attempt of write a tool that builds a chrooted environment (Версия: 1.9a от 2004-02-09) [+]
    [есть мнение]
     Программа для автоматизации процесса подготовки (пометка файлов и директорий и автоматическое определение и копирование необходимых для их работы библиотек) chroot окружения для пользователей. После создания необходимого окружения, пользователь помеченный для помещения в chroot и зашедший по telnet, ssh или ftp попадает в ограниченное пространство.
     
    ----* RootJail - program designed to safely run dangerous or unreliable services. [+]
    [обсудить]
     Небольшая программа враппер для потенциально опасных с точки зрения безопасности процессов. Программа запускает процесс в окружении Chroot и следит за его работоспособностью (если процесс падает, RootJail запускает его вновь).
     
    ----* FreeVSD facilitates true Linux Virtual Servers within a 'chroot' environment (доп. ссылка 1) [+]
    [обсудить]
     Система для создания изолированных друг от друга виртуальных серверов (ftp, http (apache), telnet, pop3, sendmail) под ОС Linux. Каждый виртуальный сервер имеет своего суперпользователя, уникальный IP адрес, таблицу пользователей и процессов.
     
    ----* CGIWrap - a gateway that allows more secure user access to CGI [+]
    [обсудить]
     Система позволяющая запускать на web сервере CGI скрипты пользователей под их идентификатором (аналог suexec), плюс решение некоторых других проблем безопасности. Существует возможность запуска скриптов пользователя в chroot окружении.
     

    Близкие по значению ключи
    nmap  spoofing  ddos  exploit  bruteforce  stack  flood  kerberos  pam  attack 
    Близкие по совпадению ключи
    freebsd  bastille  limit  virtual  runtime  linux  container  syscall  pledge  qubes  firejail  containerd  runj  security  patch 
    Похожие разделы ключей
  • Безопасность
  • Криптование

  • Раздел новостей
     [15.03.2023] Обновление ОС Qubes 4.1.2, использующей виртуализацию для изоляции приложений
     [17.01.2023] Выпуск системы изоляции приложений Firejail 0.9.72
     [15.07.2022] Проект по портированию механизма изоляции pledge для Linux
     [27.06.2022] В containerd приняты изменения, позволяющие запускать Linux-контейнеры во FreeBSD
     [19.02.2022] Выпуск Bastille 0.9.20220216, системы управления контейнерами на основе FreeBSD Jail
     [17.03.2021] Runj - OCI-совместимый инструментарий для управления контейнерами на базе FreeBSD jail
     [24.02.2021] Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений
     [07.01.2021] Выпуск Bastille 0.8, системы управления контейнерами на основе FreeBSD Jail
    Следующая страница >>

    Советы и заметки
     Быстрое создание jail-машины во FreeBSD
     Подготовка chroot-окружения в Debian или Ubuntu
     Подготовка chroot-окружения в Red Hat-подобных Linux
     Использование инструментария Podman для запуска контейнеров во FreeBSD
     Помещение OpenSSH пользователей в изолированное sftp окружение
     Создание 32-битного chroot окружения в 64-битной Debian установке
     Установка и запуск OpenVZ на Debian Lenny
     Использование slackpkg для chroot
    Следующая страница >>

    Тематический каталог
     Активация квот в jail на FreeBSD
     Виртуализация во FreeBSD с помощью Jail
     Настройка Jail в FreeBSD с помощью ezjail
     Создание безопасного CVS Pserver
     Виртуализация в FreeBSD с помощью Jail
     Samba внутри FreeBSD jail + MS AD
     Настройка системы учета трафика на базе Cacti, SNMP, bpft, FreeBSD
     chroot telnet
    Следующая страница >>

    Каталог программ
     bsdjail - Implements a subset of the BSD Jail functionality as a Linux LSM
     sysjail - userland virtualisation system
     Jailkit - set of utilities to limit user accounts to specific files using chroot
     RootJail - program designed to safely run dangerous or unreliable services.
     Systrace - Interactive Policy Generation for System Calls
     jailNG - From-scratch reimplementation of the jail code on FreeBSD
     ERUP - enchanced regular user privileges
     KVM - Kernel-based Virtual Machine for Linux
    Следующая страница >>

    Каталог ссылок
     Secure BIND Template - оптимизация конфигурации BIND для увеличения безопасности.
     idx-chrooted-ssh-cvs - HOWTO по настройке CVS сервера с доступом через SSH.
     Solaris Internals and Performance FAQ
     Chrooted tunnelled read-write CVS server
     openbsdsupport.org - OpenBSD User documentation project

    Архив документации
     Solaris 10 Containers. Конфигурирование зон
     Создание безопасного и производительного почтового сервера на базе Solaris и Postfix
     Руководство по созданию виртуальных выделенных серверов на базе Virtuozzo
     Chroot-BIND HOWTO
     Chroot-BIND8 HOWTO



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру