Безопасность и оптимизация Linux.Редакция для Red Hat
       

Установка пользовательского окружения chroot


Далее вы должны создать основу корневой файловой системы с достаточным количеством необходимых компонентов (исполняемые файлы, файлы парлей и т.д.), чтобы позволить Unix выполнить chroot, когда пользователь входит в систему. Заметим, что если вы использовали опцию “--enable-ls” во время компиляции, как мы предлагали выше, то каталоги “/home/ftp/bin” и “/home/ftp/lib” не нужны, так как Wu-ftpd будет использовать собственную функцию “ls”. Мы остановимся на демонстрации старого метода, при котором люди копируют “/bin/ls” в chroot FTP каталог (“/home/ftp/bin”) и создают соответствующие библиотеки, связанные с “ls”.


Необходимо выполнить следующие шаги, чтобы запустить Wu-ftpd в chroot окружении:

Шаг 1

Создадим все необходимые каталоги chroot окружения:

[root@deep /]# mkdir /home/ftp/dev

[root@deep /]# mkdir /home/ftp/etc

[root@deep /]# mkdir /home/ftp/bin (требуется, если вы не использовали опцию “--enable-ls”)

[root@deep /]# mkdir /home/ftp/lib (требуется, если вы не использовали опцию “--enable-ls”)

Шаг 2

Измените права доступа к новым каталогам на 0511 из соображений безопасности:

[root@deep /]# chmod 0511 /home/ftp/dev/

[root@deep /]# chmod 0511 /home/ftp/etc/

[root@deep /]# chmod 0511 /home/ftp/bin (требуется, если вы не использовали опцию “--enable-ls”)

[root@deep /]# chmod 0511 /home/ftp/lib (требуется, если вы не использовали опцию “--enable-ls”)

Команда “chmod” изменит права доступа к chroot каталогам “dev”, “etc”, “bin” и “lib” на чтение и исполнения для “root” и исполнение для группы и всех остальных пользователей.

Шаг 3

Копируйте исполняемый файл "/bin/ls" в каталог "/home/ftp/bin" и изменим права доступа к нему на 0111. (Вы не хотите позволять пользователям модифицировать этот файл):

[root@deep /]# cp /bin/ls /home/ftp/bin (требуется, если вы не использовали опцию “--enable-ls”)

[root@deep /]# chmod 0111 /bin/ls /home/ftp/bin/ls (требуется, если вы не использовали опцию “--enable-ls”)

ЗАМЕЧАНИЕ. Этот шаг необходим только если вы не использовали при конфигурировании опцию “--enable-ls”. Смотрите секцию “Компиляция и оптимизация” в этой главе.

Шаг 4



Содержание раздела