Корень / Программы для администратора / Безопасность / Chroot окружение

Linux-VServer - Linux kernel-based virtual servers (Версия: 2.02 от 2006-09-05) [+] [обсудить]   Патч для Linux ядра и набор утилит для создания изолированных друг от друга окружений (contexts - контексты) имеющих свой IP адрес, базу пользователей (включая root), квоты на дисковое пространство и оперативную память. vserver - предшественник проекта. FreeVPS - расширение и дополнение на базе утилит и патчей VServer, улучшения: квоты на размер ОЗУ, число процессов, tcp-сокетов и файловых дескрипторов, дисковые квоты, шаринг файлов между контекстами, дополнительные утилиты по контролю контекстов, полная интеграция с H-Sphere Control Panel   VXE - Virtual eXecuting Environment [+] [обсудить]   Система представляющая из себя "оболочку" для программ выполняемых под root привелегиями и призванная защитить систему от ошибок в этих программах, которые могут привести к несанкционированному доступу. Системные вызовы производимые программой запущенной под VXD проверяются (для приложения описывается ACL) и при необходимости блокируются (возможность читать писать определенные файлы, принимать или создавать сетевые соединения по определенным портам и т.д.) Интересной особенностью VXD является возможность контроля работы пользовательских CGI скриптов.   OpenStack - open source software to build private and public clouds [+] [обсудить]   Платформа для развертывания приватных и публичных cloud-сервисов, подобных Amazon EC2, и способной обслуживать инфраструктуру из тысяч виртуальных серверов. В настоящий момент в рамках проекта развиваются два продукта: распределенное, отказоустойчивое и высоконадежное хранилище объектов OpenStack Object Storage и инструментарий OpenStack Compute, позволяющий автоматически создавать и управлять работой больших групп VPS-серверов. Подробнее о возможностях OpenStack можно прочитать в анонсе открытия кода проекта. Изначально платформа была разработана и открыта под лицензией Apache компанией Rackspace и космическим агентством NASA. Позднее к работе над проектом присоединилось около 50 компаний, среди которых Citrix, Dell, Cloud.com, Puppet Lab, AMD, Intel, rPath, Vyatta, EnterpriseDB, NTT. В отличие от платформы Eucalyptus, проект OpenStack не подконтролен отдельным компаниям и управляется независимым сообществом, без разделения на открытую community-версию и закрытую расширенную enterprise-редакцию. При этом OpenStack изначально лишен некоторых проблем с масштабируемостью, наблюдаемых в Eucalyptus.   isolate - Utility for isolating Unix processes, minimizing their privilege [+] [обсудить]   Утилита, предназначенная для организации изолированного выполнения приложений с минимальными привилегиями и ограниченным доступом к X-серверу. Идея по созданию isolate возникла после того, как автор проекта столкнулся с уязвимостью в медиа-плеере, позволяющей выполнить код после открытия специально оформленного MP3-файла. Задача isolate - обеспечить возможность защиты системы при выполнении неблагонадежных программ или при обработке полученного из недоверительных источников контента. В отличие от похожих по возможностям аналогов, например, завязанной на SELinux утилиты sandbox, isolate является многоплатформенным приложением, одинаково хорошо работающим как в Linux, так и во FreeBSD. Для обеспечения изоляции в isolate использован метод динамического формирования chroot-окружения, предложенный Daniel J. Bernstein в главе 5.2 документа "Размышления о безопасности через 10 лет после выхода qmail 1.0". Перед запуском процесса, isolate анализирует список задействованных для работы подконтрольной программы библиотек, программ и файлов, после чего автоматически формируется chroot-окружение. Пользователь имеет возможность вручную указать дополнительные директории для помещения в создаваемый chroot, ограничить доступный объем памяти, максимальное число открытых файлов и запущенных процессов, что позволяет, например, быстро сформировать окружение для запуска подозрительного shell скрипта. Процесс под управлением isolate выполняется под идентификатором несуществующего в системе пользователя.   QEMU - open source machine emulator and virtualizer. (Версия: 0.9.1 от 2008-05-16) [+] [обсудить]   Эмулятор аппаратного окружения, поддерживающий эмуляцию для более чем 10 процессорных архитектур. Может выступать в роли системы виртуализации: в этом случае код выполняется без эмуляции в изолированном окружении, используя возможности виртуализации современных CPU (необходимо использование модуля ядра, например KQEMU). На базе кода qemu построены такие системы виртуализации как KVM и VirtualBox. AQEMU - графический интерфейс для эмулятора QEMU   Libvirt - C toolkit to interact with the virtualization capabilities (Версия: 0.4.0 от 2007-12-19) [+] [обсудить]   Библиотека реализующая абстрактное API для управления виртуальными окружениями Xen, QEmu, KVM и OpenVZ. На базе данного API может быть создан единый инструмент для работы с различными VPS. Имеется интерфейсный модуль для Python.   Jailkit - set of utilities to limit user accounts to specific files using chroot (Версия: 2.17 от 2014-01-05) [+] [обсудить]   Набор утилит для подготовки и управления chroot окружением. На входе список утилит, на выходе - все необходимое для их работы.   KVM - Kernel-based Virtual Machine for Linux [+] [есть мнение]   Новая виртуальная машина выполненная в в виде модуля Linux ядра и набора userspace приложений. В kvm имеется поддержка встроенных в CPU аппаратных механизмов виртуализации SVM/AMD-V и Intel VT.   sysjail - userland virtualisation system [+] [обсудить]   Система для создания изолированных окружений sysjail, представляющая собой комбинацию использования двух механизмов - systrace и chroot. Вначале проект задумывался как создание полностью совместимой альтернативы для FreeBSD jail под OpenBSD и NetBSD, но в процессе разработки были добавлена серия дополнительных средств аудита и ограничения ресурсов.   OpenVZ (Open Virtuozzo) - Operating System-level server virtualization solution [+] [есть мнение]   OpenVZ - виртуализационное решение OS-уровня, построенное на базе ядра Linux. OpenVZ позволяет создавать изолированные виртуальные сервера на одном физическом сервере, позволяя более эффективно использовать его ресурсы и предотвращая возможные конфликты меду приложениями. Каждый виртуальный сервер работает аналогично выделенному серверу. Виртуальные сервера могут независимо друг от друга быть перегружены, имеют своих собственных пользователей и административный доступ, IP адреса, память, процессы, файлы, приложения, системные библиотеки и конфигурационные файлы. русскоязычный форум по поддержке OpenVZ; WebVZ - web-интерфейс (панель управления) на ruby для управления OpenVZ.   pam_chroot - Linux-PAM module that allows a user to be chrooted (Версия: 0.9.2 от 2007-10-02) [+] [обсудить]   PAM модуль, позволяющий организовать запуск программ для определенного пользователя или группы в chroot окружении. Может использоваться совместно с типами auth, account и session. Поддерживает опции конфигурирования (могут быть заданы в отдельном файле конфигурации): regex маски, задание директории для помещения в chroot для каждого пользователя/группы в отдельности.   fakeroot - fake root environment [+] [обсудить]   Позволяет запускать программы в Linux с привилегиями суперпользовтеля для выполнения любых файловых операций. Изменения видны только для запущенной под fakeroot программы, реально в системе ничего не меняется, т.е. для программы создается некая виртуальная оболочка, в которой отражаются все действия. fakeroot позволяет сохранять и подгружать подобные оболочки. Система выполнена в виде библиотеки подгружаемой через LD_PRELOAD и подменяющей файловые функции (например, getuid(), stat(),chmod() и т.д.).   bsdjail - Implements a subset of the BSD Jail functionality as a Linux LSM [+] [обсудить]   Патч, реализующий функциональность наподобие jail в FreeBSD, используя возможности LSM (Linux Security Modules) подсистемы в Linux (для 2.6.x ядер). Процессы работающие в jail окружении, привязаны к определенному IP и не могут: выполнять операции монтирования, посылать сигналы внешним процессам, создавать устройства, подгружать модули ядра, управлять приоритетом выполнения, создавать raw-сокеты, использовать внешние IPC блоки и изменять настройки сетевой подсистемы. Для jail окружения создается отдельная, изолированная, иерархия /proc/. Кроме того, патчи поддерживают работу с IPv6.   chroot_safe - tool to chroot any dynamically linked application (Версия: 1.4 от 2005-04-12) [+] [обсудить]   Подгружаемая через LD_PRELOAD библиотека, обеспечивающая смену UID и помещение в chroot окружение приложения сразу после осуществления подгрузки всех динамически слинкованных библиотек. Позволяет не заботится о помещении библиотек в chroot окружение, но не избавляет от копирования внутрь chroot конфигурационных и прочих файлов.   mod_chroot - running Apache in a secure chroot environment (Версия: 0.5 от 2005-06-21) [+] [обсудить]   Основное назначения модуля - помещение apache в chroot окружение сразу после выполнения первичных блоков инициализации, т.е. позволяет не копировать в chroot окружения необходимые для работы apache и mod_php библиотеки, не создавать /dev, /etc/passwd и т.д. Достаточно подключить модуль, определить директивой ChrootDir корень и при необходимости создать программное окружение для выполнения CGI-скриптов.   Xen - virtual machine monitor (Версия: 4.1 от 2011-04-11) [+] [обсудить]   Позволяет на x86 архитектуре запустить несколько изолированных друг от друга виртуальных окружений со своей операционной системой в каждом (ОС должна быть адаптирована для Xen, необходимо наложить патчи). В настоящий момент Xen лучше всего работает с Linux ядром 2.4.x/2.6.x и NetBSD, в разработке поддержка Windows XP, в планах - FreeBSD и Plan9. Данный отчет показывает незначительную потерю производительности по сравнению с "чистым" запуском ОС, значительно превосходя по скорости VMware и User Mode Linux.   scponly - limited shell for secure file transfers [+] [обсудить]   scponly позволяет организовать защищенное копирование файлов без возможности запуска программ и необходимости использования SSH/OpenSSH. Кроме того scponly поддерживает chroot в директорию пользователя и может принимать соединения от sftp клиентов.   Chroot в OpenSSH [+] [обсудить]   Подборка патчей для помещения избранных пользователей в chroot окружение с входом через SSH: Патч для помещения пользователей в chroot, при обнаружении маски "/./" в имени домашнего каталога в /etc/passwd (старая версия); Патч для FreeBSD, помещает в chroot или jail по логину или группе; Патч для помещения избранных пользователей в chroot (openssh-3.5p1). Добавляет директивы ChrootDir, ChrootAll, ChrootUsers, NoChrootUsers; Патч sftp-server для запрещения выхода за рамки домашнего каталога. SSHjail - патч к OpenSSH, для помещения избранных пользователей в различные chroot окружения. Настройки хранятся в /etc/sshjail.conf. chroot+sftp hack - делает chroot при соединении по SFTP, если в пути к домашней директории пользователя указано /./;   BSD network stack virtualization [+] [обсудить]   Патч позволяет создать на одной машине несколько полностью виртуальных, изолированных, клонов tcp/ip стека, что идеально подходит для решений виртуального хостинга в комплекте с chroot jail. Введены в систему два новых вида интерфейса "ve" - виртуальный ethernet и "vipa" - виртуальный loopback, что позволяет создавать для каждого виртуального сетевого стека независимый и разделенный набор сетевых интерфейсов, таблиц маршрутизации, net.inet sysctl переменных ядра, ipfw правил фаервола и правил ограничений трафика для dummynet. Самым интересным свойством патча, на мой взгляд, является возможность планировки и учета процессорного времени (system load and CPU usage accounting and scheduling).   Jail Chroot Project - attempt of write a tool that builds a chrooted environment (Версия: 1.9a от 2004-02-09) [+] [есть мнение]   Программа для автоматизации процесса подготовки (пометка файлов и директорий и автоматическое определение и копирование необходимых для их работы библиотек) chroot окружения для пользователей. После создания необходимого окружения, пользователь помеченный для помещения в chroot и зашедший по telnet, ssh или ftp попадает в ограниченное пространство.   RootJail - program designed to safely run dangerous or unreliable services. [+] [обсудить]   Небольшая программа враппер для потенциально опасных с точки зрения безопасности процессов. Программа запускает процесс в окружении Chroot и следит за его работоспособностью (если процесс падает, RootJail запускает его вновь).   FreeVSD facilitates true Linux Virtual Servers within a 'chroot' environment (доп. ссылка 1) [+] [обсудить]   Система для создания изолированных друг от друга виртуальных серверов (ftp, http (apache), telnet, pop3, sendmail) под ОС Linux. Каждый виртуальный сервер имеет своего суперпользователя, уникальный IP адрес, таблицу пользователей и процессов.   CGIWrap - a gateway that allows more secure user access to CGI [+] [обсудить]   Система позволяющая запускать на web сервере CGI скрипты пользователей под их идентификатором (аналог suexec), плюс решение некоторых других проблем безопасности. Существует возможность запуска скриптов пользователя в chroot окружении.