如何以Solaris架设FTP虚拟系统

*``DGm"[u01. 何谓虚拟系统IXPUB技术博客P(GF9{D]0_5Dx2K S

“虚拟系统”的意思是"假的系统"，亦即当一个使用者使用的是“虚拟系统”时，他所看到的系统档案及程式，并不是系统管理者所使用的档案。 
8k
s0KR;j6ry4`]/d0例如管理者键入"ls -al  /usr/bin/ls"的命令时，看到的档案大小为32767 bytes，而其他使用者键入"ls  -al  /usr/bin/ls"的命令时，看到的却为65535 bytes，表示为两个档案的路径虽然相同，但却为不同的档案。IXPUB技术博客hm:U%PO&wX

m a`BR0m7K02. 虚拟系统的功能IXPUB技术博客F"mp%\9H)|(Ier$G
(1) 避免其它使用者使用重要资料IXPUB技术博客4m/@0D5y4O#tN)m'V3e0o
t
若您不愿意让使用者观看或执行某些档案，那你可以使用虚拟系统，让使用者看不到特定的档案，或是创造另一个与真正档案内容不同的档案。
!J2` Tp?0(2) 增加系统安全性 IXPUB技术博客Xj l Wfo
若您必须开放使用者登入机器，又害怕使用者利用系统内部的漏洞取得额外的权限，破坏系统设定与窃取资料，使用虚拟系统将可以保护系统的资料与系统运作，让恶意的使用者只能做到有限的破坏。IXPUB技术博客/E0@q)z?"Z

3.如何以Solaris架设虚拟系统

{.|s)i],u0其实所谓的"虚拟系统"，主要是利用chroot(Change Root)来达成，亦即改变根目录的位置，而使得系统对应到一新的系统设定中。要达到这个目的，大致上可分为两种方法，一是修改程式码，另外一个则是用系统本身的命令来达成。IXPUB技术博客K5ALKd9_

+I#jp%c;e3t0在此我们并不打算详细说明有关修改程式码的部份如何做，简单的说，程式部份主要是利用chroot()这个C函式来改变根目录的位置，较为麻烦的地方在于你可能要修改inetd程式或其它网路服务程式，当然你也可以自己写这些程式，不过不是每个管理者都对编写程式有兴趣的。IXPUB技术博客}g
Sr%A

但不论你采用哪一种方法，有一件事是都需要做的，那就是创造一个虚拟的系统环境。以下简单列出如何在"/vs"这个目录下，创造一个新的系统环境，并且不修改程式来启动虚拟系统的服务：IXPUB技术博客Zu^y/QeKo5W

tar -cf /system.tar /var /usr /etc /dev /devices将系统中的/var, /usr, /etc, /dev, /devices压入system.tar这个档。 
N6j0^ aK/^v[0tar -xf /system.tar /vs 将system.tar这个档的资料解开放在/vs目录下。IXPUB技术博客@.VC"?k*}2d

以上两行指令便能系统的档案到"/vs"目录去，此时当你下达"chroot /vs/usr/bin/sh"指令时，将会得到和原本系统相似的环境。而在这样的环境中，使用者不结束目前的shell(chroot後所得的的shell)是无法藉由任何指令返回原来的系统的。

ynn0tj/b"qU(M0然而事实上你不需要全部的系统档案到"虚拟系统"去，只要所需的档案即可。至於什麽是所需的档案，端看你安装了哪些服务。底下所列为在"/vs"中创造FTP的"虚拟系统"做法:    
!qGA2IO@7PAO!k0(1) "虚拟系统"中的"/etc"目录 
0~&I:ZBG0创造"虚拟系统"中的"/etc"目录，以放置密码及设定档。mkdir /vs/etc设定"虚拟系统"中的"/etc/inetd.conf"档。IXPUB技术博客S0TkIZ1A.ak
echo "ftp   stream  tcp   nowait  root  /usr/sbin/in.ftpd  
G sxGO%T9{ pk2L JK0in.ftpd" > /vs/etc/inetd.confIXPUB技术博客.T?BH:a ['N

dLd0QDH&DE!]s0设定"虚拟系统"中的"/etc/passwd"档。
x6mcz
]n0echo "root:x:0:1:Super-User:/:/usr/bin/tcsh" > /vs/etc/passwd
EXq)yd%T(J1u ^0echo "ftp:x:60:60:Anonymous Ftp:/:/dev/null" >> /vs/etc/passwd

I"U ]4Oh2bH J\0设定"虚拟系统"中的"/etc/shadow"档。
{G"E![A9Bh4q7Ds0echo "root:NP:6445::::::" > /vs/etc/shadowIXPUB技术博客#U8T9E#x-A5FI\
echo "ftp:NP:6445::::::" >> /vs/etc/shadow

(2)  "虚拟系统"中的"/var"目录
#J"aHE0|#fm x0创造"虚拟系统"中的"/var"目录，以放置系统记录档。IXPUB技术博客zI7hYZ n ^ q
mkdir /vs/varIXPUB技术博客b k/z Z+d
mkdir /vs/var/adm

Y d H
Y;~Q0(3) "虚拟系统"中的"/usr"目录 
;`t%TI3v;a3r0创造"虚拟系统"中的"/var"目录，以放置系统程式及程式库。IXPUB技术博客-G9v8N\/rc+C Gb
mkdir /vs/usrIXPUB技术博客e|^;u@6J5I Ak
mkdir /vs/usr/binIXPUB技术博客l&UW-y#j.hsV%t
mkdir /vs/usr/sbin
7i ^
b#MFg*S0mkdir /vs/usr/lib

.xF`iTR7u0从"/usr/lib"拷贝下列档案至"/vs/usr/lib"IXPUB技术博客|i(}G F#i7H:s,w[_
ld.so.1IXPUB技术博客-|UL'Qn2V
libauth.so.1
4bU*P? jU8}~R0libbsm.so.1IXPUB技术博客5yz Zth3ds
libc.so.1IXPUB技术博客 f;rQsL-U
libcmd.so.1
p#|j}MG2[4u0libcrypt_i.so.1IXPUB技术博客iC)DfH l,Yj;q
libdl.so.1IXPUB技术博客6\[;LX3Q!]
libgen.so.1IXPUB技术博客lF6@p
Dll4{k
libmp.so.1
,GLpno&L R7c0libmp.so.2IXPUB技术博客B0] S+{-FqI A
libnsl.so.1
B*@R/XYc'|AA0libsocket.so.1
.C!FP4sn0nss_files.so.1IXPUB技术博客L}E \T%d$jl

从"/usr/bin"拷贝下列档案至"/vs/usr/bin"IXPUB技术博客4w5H3q&Av{
*ls
6O1r}F^%TH8Erc0从"/usr/sbin"拷贝下列档案至"/vs/usr/sbin"
vc+iE-R+j"@8l0*in.ftpd (FTP伺服器程式)IXPUB技术博客f)k k o*u$ZL@4G
*inetd (Internet Super Daemon) 
d4pH @ z][0(4) "虚拟系统"中的"/dev"与"/devices"目录IXPUB技术博客7|{vW~Vz&x
作"/dev"、"/devices"的tar档。IXPUB技术博客z%ko){.U E.Ky
tar -cf /dev.tar /dev /devices        IXPUB技术博客lQQ K#e!}3X#F
将tar档解至"/vs"目录下。IXPUB技术博客`p_(ZK~V
tar -xf /dev.tar /vsIXPUB技术博客 s)V*cX2@l

H3W7s{,M,yehfXOIi0删除tar档IXPUB技术博客,J.C(FAj;s T`2r.t
rm /dev.tarIXPUB技术博客5~0qS'P(R1lM+|M

(N9G6Zt$y3Ve0(5) 启动服务IXPUB技术博客r aF!H#z
KHr3]
chroot /vs /usr/sbin/inetd -s IXPUB技术博客2Tk;`*ZY!d
此步骤须注意是否关闭原始系统中inetd.conf的ftp选项，否则无法正常启动。IXPUB技术博客,aOG-r&c3YQ)Z,u

4. 结语IXPUB技术博客\js%n]%Q][
有人或许会问，anonymous ftp本身就有做chroot的动作，为何还要自己做一个虚拟系统呢? 事实上，FTP服务若有漏洞，入侵者可透过漏洞取得root权限，此时anonymous ftp的chroot未必会被执行，若未执行chroot，那整个系统就暴露在入侵者眼前，但若你做了虚拟系统，将强制使用者连线时已在虚拟系统中，即使入侵者透过漏洞取得root权限，亦会被限制於虚拟系统中，将难以破坏原本的系统，如此可将系统损害降低。IXPUB技术博客,ak$t`1qgpa
至於其它的服务如何在虚拟系统中启动，方法与步骤是相似的，有问题欢迎来信讨论，请寄至twcert@cert.org.tw。IXPUB技术博客G{9|Nt