Κεφάλαιο 16. Jails

16.1. Σύνοψη

Το κεφάλαιο αυτό εξηγεί τι είναι τα jails (φυλακές) του FreeBSD και πως χρησιμοποιούνται. Τα jails, που αναφέρονται ορισμένες φορές σαν μια ενισχυμένη εναλλακτική λύση για περιβάλλοντα chroot, είναι ένα ισχυρό εργαλείο για διαχειριστές συστημάτων, αλλά η βασική τους χρήση μπορεί επίσης να είναι χρήσιμη σε προχωρημένους χρήστες.

Αφού διαβάσετε αυτό το κεφάλαιο, θα ξέρετε:

  • Τι είναι ένα jail και τι σκοπό μπορεί να εξυπηρετήσει σε εγκαταστάσεις FreeBSD.

  • Πως να φτιάξετε, να εκκινήσετε, και να σταματήσετε ένα jail.

  • Τα βασικά της διαχείρισης ενός jail, τόσο μέσα, όσο και έξω από αυτό.

Άλλες πηγές χρήσιμων πληροφοριών σχετικά με τα jails είναι:

16.2. Όροι των Jails

Για να κατανοήσετε καλύτερα το πως οι εσωτερικές λειτουργίες του FreeBSD σχετίζονται με τα jails και πως αυτές αλληλεπιδρούν με τα υπόλοιπα μέρη του FreeBSD, θα χρησιμοποιήσουμε εκτενώς τους παρακάτω όρους:

chroot(8) (εντολή)

Ένα βοηθητικό πρόγραμμα, το οποίο χρησιμοποιεί την κλήση συστήματος chroot(2) του FreeBSD για να αλλάξει τον γονικό κατάλογο (root directory) μιας διεργασίας και όλων των άλλων διεργασιών που εξαρτώνται από αυτή.

chroot(2) (περιβάλλον)

Το περιβάλλον μια διεργασίας που τρέχει μέσα σε ένα "chroot". Αυτό περιλαμβάνει πόρους όπως το τμήμα του συστήματος αρχείων που είναι ορατό, τα ID του χρήστη και της ομάδας που είναι διαθέσιμα, καθώς και τις διεπαφές δικτύου (network interfaces), τους μηχανισμούς IPC κλπ.

jail(8) (εντολή)

Το πρόγραμμα που σας επιτρέπει να διαχειρίζεστε το σύστημα σας και να ξεκινάτε διεργασίες σε περιβάλλον jail.

host (σύστημα (system), διεργασία (process), χρήστης (user), κλπ.)

Το φυσικό σύστημα που φιλοξενεί και ελέγχει ένα περιβάλλον jail. Το host system έχει πρόσβαση σε όλο το διαθέσιμο υλικό, και μπορεί να ελέγξει διεργασίες τόσο μέσα όσο και έξω από το περιβάλλον του jail. Μία από τις σημαντικότερες διαφορές μεταξύ του host system και του jail είναι ότι οι περιορισμοί που εφαρμόζονται στις διεργασίες του χρήστη root μέσα στο περιβάλλον jail, δεν ισχύουν για τις διεργασίες στο host system.

hosted (σύστημα (system), διεργασία (process), χρήστης (user), κλπ.)

Μια διεργασία, ένας χρήστης ή κάποια άλλη οντότητα, του οποίου η πρόσβαση στους πόρους του συστήματος περιορίζεται μέσα από ένα jail.

16.3. Εισαγωγή

Μια και η διαχείριση ενός συστήματος μπορεί να είναι δύσκολη και περίπλοκη, αναπτύχθηκαν αρκετά εργαλεία τα οποία μπορούν να κάνουν τη ζωή ενός διαχειριστή πολύ πιο εύκολη. Τα εργαλεία αυτά προσφέρουν κάποιες πρόσθετες δυνατότητες όσο αφορά τον τρόπο εγκατάστασης, ρύθμισης και συντήρησης ενός συστήματος. Μια από τις εργασίες που αναμένεται να εκτελέσει κάθε διαχειριστής συστήματος, είναι να ρυθμίσει σωστά την ασφάλεια του συστήματος, προκειμένου να προσφέρει τις υπηρεσίες για τις οποίες έχει προγραμματιστεί, χωρίς να επιτρέπει συμβιβασμούς στην ασφάλεια.

Ένα από τα εργαλεία που μπορούν να ενισχύσουν την ασφάλεια ενός συστήματος FreeBSD είναι τα jails. Τα Jails πρωτοεμφανίστηκαν στο FreeBSD 4.X από τον Poul-Henning Kamp <phk@FreeBSD.org>, αλλά βελτιώθηκαν πολύ περισσότερο στην έκδοση FreeBSD 5.X, προκειμένου να προσφέρουν περισσότερες δυνατότητες και να είναι περισσότερο ευέλικτα. Η ανάπτυξή τους συνεχίζεται ακόμη, με βελτιώσεις στους τομείς της ευχρηστίας, της απόδοσης, της αξιοπιστίας και της ασφάλειας που πρέπει να παρέχουν.

16.3.1. Τι Είναι Ένα Jail

Τα λειτουργικά συστήματα τύπου BSD, παρείχαν το chroot(2) από την εποχή του 4.2BSD. Η εντολή chroot(8) μπορεί να χρησιμοποιηθεί για να αλλάξει τον γονικό κατάλογο μιας ομάδας διεργασιών, δημιουργώντας ένα ασφαλές περιβάλλον, ξεχωριστό από το υπόλοιπο σύστημα. Όσες διεργασίες δημιουργούνται σε έναν τέτοιο περιβάλλον, δεν έχουν πρόσβαση σε αρχεία και πόρους έξω από αυτό. Για αυτό το λόγο, αν μια υπηρεσία τρέχει μέσα σε ένα τέτοιο περιβάλλον, και κάποιος εισβολέας καταφέρει να διεισδύσει σε αυτή, δε θα του επιτραπεί η πρόσβαση στο υπόλοιπο σύστημα. Η εντολή chroot(8) είναι πολύ καλή για απλές εργασίες οι οποίες δε χρειάζονται να είναι πολύ ευέλικτες ή να διαθέτουν πολύπλοκα και προηγμένα χαρακτηριστικά. Ωστόσο, από την αρχή της ιδέας του chroot, βρέθηκαν αρκετοί τρόποι για να μπορέσει κάποιος να ξεφύγει από το περιβάλλον αυτό. Παρ' όλο που έχουν διορθωθεί πολλά σφάλματα στις πρόσφατες εκδόσεις του πυρήνα του FreeBSD, ήταν ξεκάθαρο ότι η chroot(2) δεν ήταν η ιδανική λύση για την ασφάλιση υπηρεσιών. Έπρεπε να υλοποιηθεί ένα νέο υποσύστημα.

Αυτός είναι ένας από τους κύριους λόγους για την ανάπτυξη των jails.

Τα jails βελτίωσαν με διάφορους τρόπους την ιδέα του παραδοσιακού περιβάλλοντος του chroot(2). Στο τυπικό περιβάλλον του chroot(2), οι διεργασίες περιορίζονται μόνος ως προς το μέρος του συστήματος αρχείων όπου μπορούν να έχουν πρόσβαση. Οι υπόλοιποι πόροι του συστήματος (όπως οι χρήστες, οι τρέχοντες διεργασίες, το υποσύστημα δικτύωσης) είναι κοινόχρηστοι μεταξύ των διεργασιών του περιβάλλοντος chroot και των διεργασιών του host system. Τα jails επεκτείνουν αυτό το μοντέλο, με την εικονικοποίηση όχι μόνο της πρόσβασης στο σύστημα αρχείων, αλλά επίσης των χρηστών, του υποσυστήματος δικτύωσης του πυρήνα του FreeBSD και μερικών ακόμη πραγμάτων. Περισσότερα για τις διαθέσιμες εντολές που μπορούν να χρησιμοποιηθούν για τη ρύθμιση και τον έλεγχο ενός περιβάλλοντος jail μπορείτε να βρείτε στο Λεπτομερής Ρύθμιση και Διαχείριση.

Το Jail έχει τέσσερα κύρια στοιχεία:

  • Έναν κατάλογο με δική του δομή - το αρχικό σημείο στο οποίο εισέρχεται ένα jail. Από τη στιγμή που μια διεργασία βρίσκεται μέσα σε ένα jail, δεν επιτρέπεται να βγει έξω από τον κατάλογο αυτό. Τα προβλήματα που ταλαιπωρούσαν τον σχεδιασμό του chroot(2) δεν επηρεάζουν τα jails του FreeBSD.

  • Ένα hostname (όνομα συστήματος) - το hostname το οποίο θα χρησιμοποιηθεί μέσα στο jail. Τα jails χρησιμοποιούνται κυρίως για την εξυπηρέτηση δικτυακών υπηρεσιών, επομένως η ύπαρξη ενός χαρακτηριστικού hostname που να περιγράφει ταυτόχρονα και τη χρήση του, μπορεί να βοηθήσει αρκετά τον διαχειριστή συστήματος.

  • Μια διεύθυνση IP - αυτή η διεύθυνση αντιστοιχεί σε ένα jail και δεν μπορεί να αλλάξει κατά τη διάρκεια της ζωής του. Η διεύθυνση IP ενός jail είναι συνήθως μία διεύθυνση τύπου alias για μια ήδη υπάρχουσα διεπαφή δικτύου (network interface), αλλά κάτι τέτοιο δεν είναι απαραίτητο.

  • Μία εντολή - η διαδρομή προς ένα εκτελέσιμο το οποίο θα εκτελείται μέσα στο jail. Η διαδρομή αυτή είναι σχετική ως προς τον γονικό κατάλογο του περιβάλλοντος του jail, και μπορεί να διαφέρει πολύ από jail σε jail ανάλογα με το συγκεκριμένο περιβάλλον.

Εκτός αυτών, τα jails μπορούν να έχουν τις δικές τους ομάδες χρηστών και τον δικό τους χρήστη root. Φυσικά, ο έλεγχος που έχει ο χρήστης root του jail, περιορίζεται μέσα στο περιβάλλον του jail, και από την οπτική γωνία του host system, ο χρήστης αυτός δεν είναι παντοδύναμος. Επιπλέον, ο χρήστης root του jail, δεν μπορεί να εκτελέσει κρίσιμες εργασίες στο σύστημα έξω από το περιβάλλον του jail(8). Περισσότερες πληροφορίες σχετικά με τις δυνατότητες και τους περιορισμούς του root θα βρείτε στο Λεπτομερής Ρύθμιση και Διαχείριση.

16.4. Δημιουργώντας και Ελέγχοντας Jails

Μερικοί διαχειριστές συστημάτων κατηγοριοποιούν τα jails σε δύο ενότητες: τα "complete (πλήρη)" jails, τα οποία μιμούνται ένα πραγματικό σύστημα FreeBSD, και τα "service" jails, τα οποία χρησιμοποιούνται για μια εφαρμογή ή υπηρεσία, που πιθανόν εκτελείται με ειδικά προνόμια. Αυτός είναι ένας νοητικός διαχωρισμός και δεν επιδρά στη διαδικασία δημιουργίας ενός jail. Η σελίδα manual του jail(8) περιέχει κατατοπιστικές πληροφορίες για τη διαδικασία δημιουργίας ενός jail:

# setenv D /here/is/the/jail
# mkdir -p $D (1)
# cd /usr/src
# make buildworld (2)
# make installworld DESTDIR=$D (3)
# make distribution DESTDIR=$D (4)
# mount -t devfs devfs $D/dev (5)
1Ο καλύτερος τρόπος για να ξεκινήσετε είναι με την επιλογή μιας θέσης (διαδρομής) για το jail σας. Εκεί θα βρίσκονται αποθηκευμένα τα αρχεία του jail όσο αφορά το σύστημα σας. Μια καλή ιδέα είναι το /usr/jail/jailname, όπου jailname το hostname με το οποίο θα αναγνωρίζεται το jail. Το σύστημα αρχείων /usr/ έχει συνήθως αρκετό χώρο για το σύστημα αρχείων του jail, το οποίο, για ένα "complete" jail είναι ουσιαστικά ένας κλώνος κάθε αρχείου του βασικού συστήματος μια προεπιλεγμένης εγκατάστασης του FreeBSD.
2Το βήμα αυτό δεν απαιτείται αν έχετε μεταγλωττίσει στο παρελθόν το βασικό σύστημα χρησιμοποιώντας την εντολή make world ή make buildworld. Μπορείτε απλώς να εγκαταστήσετε το υπάρχον σύστημα σας στο νέο jail.
3Η εντολή αυτή θα εμπλουτίσει τον κατάλογο που επιλέξατε για το jail με όλα τα απαραίτητα αρχεία, βιβλιοθήκες, σελίδες βοήθειας κλπ.
4Το distribution target του make εγκαθιστά όλα τα αρχεία ρυθμίσεων που απαιτούνται. Με απλά λόγια, εγκαθιστά κάθε αρχείο από το /usr/src/etc/ στον κατάλογο /etc του περιβάλλοντος jail: $D/etc/.
5Δε χρειάζεται να προσαρτήσετε το devfs(8) στο περιβάλλον του jail. Από την άλλη όμως, όλες, ή σχεδόν όλες οι εφαρμογές χρειάζονται πρόσβαση σε τουλάχιστον μία συσκευή, αναλόγως με τον σκοπό της εφαρμογής. Είναι πολύ σημαντικό να ελέγχεται η πρόσβαση στις συσκευές μέσα σε ένα jail, καθώς λανθασμένες ρυθμίσεις μπορεί να επιτρέψουν σε κάποιον εισβολέα να κάνει "άσχημα παιχνίδια" μέσα στο jail. Ο έλεγχος του devfs(8) γίνεται μέσω ενός συνόλου κανόνων οι οποίοι περιγράφονται στις σελίδες manual του devfs(8) και του devfs.conf(5).

Από την στιγμή που έχει εγκατασταθεί ένα jail, μπορεί να εκκινηθεί με τη χρήση της εντολής jail(8). Η jail(8) δέχεται τέσσερις υποχρεωτικές παραμέτρους οι οποίες περιγράφονται στο Τι Είναι Ένα Jail. Μπορείτε να δώσετε και άλλες παραμέτρους, π.χ., για να εκτελέσετε μια διεργασία στο περιβάλλον του jail με τις άδειες ενός συγκεκριμένου χρήστη. Η παράμετρος command εξαρτάται από τον τύπο του jail. Για ένα εικονικό σύστημα, το /etc/rc είναι μια καλή επιλογή, μια και στην ουσία θα κλωνοποιήσει την διαδικασία εκκίνησης ενός πραγματικού συστήματος FreeBSD. Για ένα service jail, η παράμετρος εξαρτάται από την υπηρεσία ή την εφαρμογή που θα τρέχει μέσα στο jail.

Τα jails συνήθως ξεκινούν κατά την εκκίνηση και ο μηχανισμός rc του FreeBSD παρέχει έναν εύκολο τρόπο για να γίνει κάτι τέτοιο.

  1. Η λίστα με τα jails που θέλετε να ξεκινάνε κατά την εκκίνηση θα πρέπει να προστεθούν στο αρχείο rc.conf(5):

    jail_enable="YES"   # Set to NO to disable starting of any jails
    jail_list="www"     # Space separated list of names of jails

    Το όνομα που έχει κάθε jail στη λίστα jail_list επιτρέπεται να περιέχει μόνο αλφαριθμητικούς χαρακτήρες.

  2. Για κάθε jail που υπάρχει στο jail_list, θα πρέπει να προστεθεί μια ομάδα από ρυθμίσεις στο rc.conf(5), οι οποίες θα το περιγράφουν:

    jail_www_rootdir="/usr/jail/www"     # jail's root directory
    jail_www_hostname="www.example.org"  # jail's hostname
    jail_www_ip="192.168.0.10"           # jail's IP address
    jail_www_devfs_enable="YES"          # mount devfs in the jail
    jail_www_devfs_ruleset="www_ruleset" # devfs ruleset to apply to jail

    Η προεπιλεγμένη εκκίνηση του jail μέσω του rc.conf(5), θα ξεκινήσει το script του jail /etc/rc, το οποίο υποθέτει ότι το jail είναι ένα ολοκληρωμένο εικονικό σύστημα. Για service jails, η προεπιλεγμένη εκκίνηση πρέπει να αλλάξει, ορίζοντας κατάλληλα την επιλογή jailjailnameexec_start.

    Για πλήρη λίστα των διαθέσιμων επιλογών, δείτε το rc.conf(5).

Το script /etc/rc.d/jail μπορεί να χρησιμοποιηθεί για να ξεκινήσει ή να σταματήσει κάποιο jail χειροκίνητα. Πρέπει όμως να υπάρχει η αντίστοιχη καταχώρηση στο rc.conf:

# /etc/rc.d/jail start www
# /etc/rc.d/jail stop www

Για την ώρα δεν υπάρχει κάποιος απόλυτα σωστός τρόπος για να τερματίσετε κάποιο jail(8). Αυτό συμβαίνει, διότι οι εντολές που χρησιμοποιούνται συνήθως για να τερματίσουν με ασφάλεια ένα σύστημα, δεν μπορούν να χρησιμοποιηθούν μέσα στο περιβάλλον ενός jail. Ο καλύτερος τρόπος για να τερματίσετε ένα jail είναι με την εκτέλεση της ακόλουθης εντολής μέσα από το ίδιο το jail ή με χρήση του βοηθητικού προγράμματος jexec(8) έξω από αυτό:

# sh /etc/rc.shutdown

Περισσότερες πληροφορίες σχετικά με αυτή τη διαδικασία μπορείτε να βρείτε στη σελίδα βοηθείας του jail(8)

16.5. Λεπτομερής Ρύθμιση και Διαχείριση

Υπάρχουν αρκετές επιλογές που μπορούν να εφαρμοστούν σε ένα jail, καθώς και διάφοροι τρόποι για να συνδυαστεί ένα σύστημα FreeBSD με jails προκειμένου να παράγουν εφαρμογές υψηλότερου επιπέδου. Η ενότητα αυτή παρουσιάζει:

  • Μερικές από τις διαθέσιμες επιλογές για την ρύθμιση της συμπεριφοράς και των περιορισμών ασφαλείας που υλοποιούνται από την εγκατάσταση ενός jail.

  • Μερικές εφαρμογές υψηλού επιπέδου για τη διαχείριση jails, οι οποίες είναι διαθέσιμες μέσω της συλλογής των Ports του FreeBSD και μπορούν να χρησιμοποιηθούν στην υλοποίηση ολοκληρωμένων λύσεων με τη χρήση jails.

16.5.1. Εργαλεία Συστήματος του FreeBSD για τη Ρύθμιση Jails

Λεπτομερής ρύθμιση ενός jail γίνεται κατά κύριο λόγο μέσω των μεταβλητών του sysctl(8). Υπάρχει ένα ειδικό subtree του sysctl το οποίο αποτελεί τη βάση για την οργάνωση όλων των σχετικών επιλογών: πρόκειται για την ιεραρχία επιλογών πυρήνα security.jail.*. Παρακάτω θα βρείτε μια λίστα με τα κύρια sysctl που σχετίζονται με κάποιο jail καθώς και τις προεπιλεγμένες τιμές τους. Τα ονόματα μάλλον εξηγούν από μόνα τους την αντίστοιχη λειτουργία, αλλά για περισσότερες πληροφορίες μπορείτε να δείτε τις σελίδες βοήθειας των jail(8) και sysctl(8).

  • security.jail.set_hostname_allowed: 1

  • security.jail.socket_unixiproute_only: 1

  • security.jail.sysvipc_allowed: 0

  • security.jail.enforce_statfs: 2

  • security.jail.allow_raw_sockets: 0

  • security.jail.chflags_allowed: 0

  • security.jail.jailed: 0

Οι μεταβλητές αυτές μπορούν να χρησιμοποιηθούν από τον διαχειριστή του host system προκειμένου να προσθέσει ή να αφαιρέσει περιορισμούς οι οποίοι υπάρχουν αρχικά στον χρήστη root. Υπάρχουν όμως και κάποιοι περιορισμοί οι οποίοι δεν μπορούν να αφαιρεθούν. Ο χρήστης root δεν επιτρέπεται να προσαρτά ή να απο-προσαρτά συστήματα αρχείων μέσα από ένα jail(8). Ο root μέσα σε ένα jail δεν επιτρέπεται να φορτώσει ή να αποφορτώσει τους κανόνες (rulesets) του devfs(8), το firewall, και διάφορες άλλες εργασίες διαχείρισης οι οποίες χρειάζονται τροποποίηση των δεδομένων του πυρήνα, όπως για παράδειγμα ο ορισμός του securelevel του πυρήνα.

Το βασικό σύστημα του FreeBSD περιέχει τα βασικά εργαλεία για τη προβολή πληροφοριών σχετικά με τα ενεργά jails, και επίσης για την ανάθεση συγκεκριμένων εντολών διαχείρισης σε κάποιο jail. Οι εντολές jls(8) και jexec(8) αποτελούν μέρος του βασικού συστήματος του FreeBSD, και μπορούν να χρησιμοποιηθούν για να τις παρακάτω απλές εργασίες:

  • Προβολή λίστας των ενεργών jails και τον αντίστοιχων χαρακτηριστικών τους - jail identifier (JID), διεύθυνση IP, hostname και path.

  • Προσκόλληση σε κάποιο ενεργό jail, από το host system, και εκτέλεση κάποιας εντολής μέσα στο jail ή εκτέλεση εργασιών διαχείρισης μέσα στο jail. Κάτι τέτοιο είναι ιδιαίτερα χρήσιμο όταν ο χρήστης root επιθυμεί να τερματίσει με ασφάλεια κάποιο jail. Μπορεί επίσης να χρησιμοποιηθεί η εντολή jexec(8) για την εκτέλεση κάποιου shell μέσα στο jail προκειμένου να εκτελεστούν εργασίες διαχείρισης, για παράδειγμα:

    # jexec 1 tcsh

16.5.2. Εργαλεία Διαχείρισης Υψηλού Επιπέδου στη Συλλογή Ports του FreeBSD

Ανάμεσα στις διάφορες εφαρμογές τρίτων κατασκευαστών για τη διαχείριση των jails, ένα από τα ποιο ολοκληρωμένα και χρήσιμα πακέτα είναι το sysutils/jailutils. Αποτελεί ένα σύνολο μικρών εφαρμογών οι οποίες συνεισφέρουν στη διαχείριση του jail(8). Για περισσότερες πληροφορίες, δείτε στον δικτυακό του τόπο.

16.6. Εφαρμογή των Jails

16.6.1. Service Jails

Η ενότητα αυτή είναι βασισμένη στην ιδέα που παρουσιάστηκε αρχικά από τον Simon L. B. Nielsen <simon@FreeBSD.org> στο http://simon.nitro.dk/service-jails.html, καθώς και σε ένα ανανεωμένο άρθρο του Ken Tom locals@gmail.com. Στην ενότητα αυτή θα σας δείξουμε πως να στήσετε ένα σύστημα FreeBSD το οποίο να διαθέτει ένα επιπλέον επίπεδο ασφάλειας, με τη χρήση του jail(8). Υποθέτουμε ότι το σύστημα τρέχει τουλάχιστον RELENG_6_0 και ότι έχετε κατανοήσει όλες τις προηγούμενες πληροφορίες του κεφαλαίου.

16.6.1.1. Σχεδιασμός

Ένα από τα σημαντικότερα προβλήματα με τα jails είναι η διαχείριση της διαδικασίας αναβαθμίσεων. Αυτό τείνει να είναι πρόβλημα διότι το κάθε jail πρέπει να δημιουργηθεί από την αρχή σε κάθε αναβάθμιση. Συνήθως δεν είναι πρόβλημα αν έχετε ένα μόνο jail, μια και πρόκειται για σχετικά απλή διαδικασία, αλλά γίνεται κουραστική και χρονοβόρα αν έχετε πολλά jails.

Οι παρακάτω ρυθμίσεις προϋποθέτουν εμπειρία με το FreeBSD και τη χρήση των διάφορων χαρακτηριστικών του. Εάν τα παρακάτω βήματα σας φαίνονται πολύ περίπλοκα, είναι καλύτερα να ρίξετε μια ματιά σε κάτι ποιο απλό όπως το sysutils/ezjail, το οποίο παρέχει έναν ευκολότερο τρόπο διαχείρισης των jails του FreeBSD και δεν είναι τόσο εξειδικευμένο όσο οι παρακάτω ρυθμίσεις.

Η ιδέα αυτή έχει παρουσιαστεί για να λύσει τέτοιου είδους προβλήματα, με την βοήθεια της κοινής χρήσης όσο το δυνατόν περισσότερων αρχείων μεταξύ των jails, με έναν ασφαλή όμως τρόπο - χρησιμοποιώντας προσαρτήσεις τύπου mount_nullfs(8) και μόνο για ανάγνωση (read only) έτσι ώστε η αναβάθμιση να είναι ευκολότερη, και η χρήση μεμονωμένων jails για κάθε υπηρεσία να καθίσταται επιθυμητή. Επιπλέον, παρέχει έναν απλό τρόπο για να προσθέσετε και να αφαιρέσετε jails όπως επίσης και να τα αναβαθμίσετε.

Παραδείγματα υπηρεσιών τέτοιου τύπου: ένας HTTP server, ένας DNS server, ένας SMTP server, κλπ.

Οι στόχοι των παρακάτω ρυθμίσεων είναι:

  • Δημιουργία απλών και κατανοητών jails. Αυτό σημαίνει ότι δεν θα τρέξουμε ένα πλήρες installworld σε κάθε jail.

  • Εύκολη προσθήκη και διαγραφή jails.

  • Εύκολη αναβάθμιση υπαρχόντων jails.

  • Δυνατότητα δημιουργίας προσαρμοσμένου τμήματος του FreeBSD.

  • Όσο περισσότερη ασφάλεια είναι δυνατόν, με ελαχιστοποίηση της πιθανότητας κακόβουλης χρήσης.

  • Εξοικονόμηση χώρου και inodes.

Όπως έχουμε ήδη πει, ο σχεδιασμός αυτός εξαρτάται ιδιαίτερα από την ύπαρξη ενός αρχικού template στο οποίο δεν επιτρέπεται η εγγραφή δεδομένων (γνωστό ως nullfs) και το οποίο πρέπει να έχει προσαρτηθεί σε κάθε jail, όπως επίσης και στην ύπαρξη για κάθε jail μιας συσκευής που να επιτρέπει τόσο την ανάγνωση όσο και την εγγραφή. Μια τέτοια συσκευή μπορεί να είναι κάποιος ξεχωριστός φυσικός δίσκος, μια κατάτμηση, ή κάποια συσκευή vnode md(4). Στο παρακάτω παράδειγμα, θα χρησιμοποιήσουμε προσαρτήσεις τύπου nullfs στις οποίες θα επιτρέπεται εγγραφή και ανάγνωση.

Η δομή του συστήματος αρχείων περιγράφεται στην παρακάτω λίστα:

  • Κάθε jail θα προσαρτάται κάτω από τον κατάλογο /home/j.

  • Το /home/j/mroot είναι το template για το κάθε jail και η κατάτμηση μόνο ανάγνωσης για όλα τα jails.

  • Θα δημιουργηθεί ένας κενός κατάλογος για κάθε jail κάτω από τον κατάλογο /home/j.

  • Κάθε jail θα έχει έναν κατάλογο /s, ο οποίος θα είναι σύνδεσμος προς το εγγράψιμο μέρος του συστήματος.

  • Κάθε jail θα έχει το δικό εγγράψιμο μέρος το οποίο θα βασίζεται στο /home/j/skel.

  • Κάθε jailspace (το εγγράψιμο μέρος κάθε jail) θα πρέπει να δημιουργηθεί στον κατάλογο /home/js.

Όλα αυτά προϋποθέτουν ότι τα jails βρίσκονται κάτω από τον κατάλογο /home. Αυτό βέβαια μπορεί να αλλάξει σε οτιδήποτε εσείς θέλετε, αλλά θα επηρεάσει όλα τα παρακάτω παραδείγματα.

16.6.1.2. Δημιουργώντας το Template

Η ενότητα αυτή θα περιγράψει τα βήματα που χρειάζονται προκειμένου να δημιουργήσετε το πρωταρχικό template το οποίο θα περιέχει το τμήμα των jails που είναι μόνο για ανάγνωση.

Είναι πάντοτε καλή ιδέα να αναβαθμίζετε το FreeBSD στη τελευταία έκδοση -RELEASE. Για το σκοπό αυτό, διαβάστε το αντίστοιχο κεφάλαιο στο Εγχειρίδιο. Στη περίπτωση που η αναβάθμιση δεν είναι εφικτή, θα χρειαστείτε buildworld για να μπορέσετε να συνεχίσετε. Επιπλέον θα χρειαστείτε το πακέτο sysutils/cpdup. Θα χρησιμοποιήσουμε το βοηθητικό πρόγραμμα portsnap(8) για να κατεβάσουμε τη συλλογή των Ports. Για τους νεο-εισερχόμενους, συνίσταται η ανάγνωση του κεφαλαίου για το Portsnap στο Εγχειρίδιο του FreeBSD.

  1. Αρχικά, δημιουργήστε μια δομή καταλόγων για το σύστημα αρχείων το οποίο θα είναι μόνο για ανάγνωση, και το οποίο θα περιέχει τα εκτελέσιμα (binaries) του FreeBSD για τα jails. Στη συνέχεια πηγαίνετε στον κατάλογο όπου βρίσκονται τα αρχεία πηγαίου κώδικα (source tree) του FreeBSD και εγκαταστήστε τα αντίστοιχα αρχεία στο jail template:

    # mkdir /home/j /home/j/mroot
    # cd /usr/src
    # make installworld DESTDIR=/home/j/mroot
  2. Επόμενο βήμα είναι να προετοιμάσετε τη συλλογή των Ports του FreeBSD για τα jails όπως επίσης και ένα FreeBSD source tree, το οποίο θα χρειαστεί για το mergemaster:

    # cd /home/j/mroot
    # mkdir usr/ports
    # portsnap -p /home/j/mroot/usr/ports fetch extract
    # cpdup /usr/src /home/j/mroot/usr/src
  3. Δημιουργήστε το σκελετό για το τμήμα του συστήματος όπου προορίζεται για ανάγνωση και εγγραφή:

    # mkdir /home/j/skel /home/j/skel/home /home/j/skel/usr-X11R6 /home/j/skel/distfiles
    # mv etc /home/j/skel
    # mv usr/local /home/j/skel/usr-local
    # mv tmp /home/j/skel
    # mv var /home/j/skel
    # mv root /home/j/skel
  4. Χρησιμοποιήστε το mergemaster για να εγκαταστήσετε τα αρχεία ρυθμίσεων που λείπουν. Στη συνέχεια διαγράψτε όλους τους έξτρα καταλόγους που δημιουργεί το mergemaster:

    # mergemaster -t /home/j/skel/var/tmp/temproot -D /home/j/skel -i
    # cd /home/j/skel
    # rm -R bin boot lib libexec mnt proc rescue sbin sys usr dev
  5. Τώρα, δημιουργήστε συνδέσμους από το σύστημα αρχείων στο οποίο επιτρέπεται η εγγραφή, προς το σύστημα αρχείων που είναι μόνο για ανάγνωση. Βεβαιωθείτε ότι οι σύνδεσμοι έχουν δημιουργηθεί στις σωστές θέσεις s/. Η ύπαρξη πραγματικών καταλόγων ή η δημιουργία καταλόγων σε λάθος θέσεις θα οδηγήσουν την εγκατάσταση σε αποτυχία.

    # cd /home/j/mroot
    # mkdir s
    # ln -s s/etc etc
    # ln -s s/home home
    # ln -s s/root root
    # ln -s ../s/usr-local usr/local
    # ln -s ../s/usr-X11R6 usr/X11R6
    # ln -s ../../s/distfiles usr/ports/distfiles
    # ln -s s/tmp tmp
    # ln -s s/var var
  6. Σαν τελευταίο βήμα, δημιουργήστε ένα γενικό αρχείο /home/j/skel/etc/make.conf με τα παρακάτω δεδομένα:

    WRKDIRPREFIX?=  /s/portbuild

    Έχοντας ορίσει το WRKDIRPREFIX με αυτόν τον τρόπο, θα μπορείτε να μεταγλωττίσετε ports του FreeBSD μέσα σε κάθε jail. Θυμηθείτε ότι ο κατάλογος των ports είναι μέρος του συστήματος αρχείων που έχει προσαρτηθεί μόνο για ανάγνωση. Η προσαρμοσμένη διαδρομή για το WRKDIRPREFIX επιτρέπει την μεταγλώττιση των ports στο εγγράψιμο μέρος του κάθε jail.

16.6.1.3. Δημιουργώντας Jails

Τώρα που έχουμε ένα ολοκληρωμένο FreeBSD jail template, μπορούμε να εγκαταστήσουμε και να ρυθμίσουμε τα jails στο /etc/rc.conf. Το παράδειγμα αυτό δείχνει τη δημιουργία τριών jails: "NS", "MAIL" και "WWW".

  1. Εισάγετε τις παρακάτω γραμμές στο αρχείο /etc/fstab, ώστε το μόνο για ανάγνωση template για τα jails και ο εγγράψιμος χώρος να είναι διαθέσιμα στα αντίστοιχα jails:

    /home/j/mroot   /home/j/ns     nullfs  ro  0   0
    /home/j/mroot   /home/j/mail   nullfs  ro  0   0
    /home/j/mroot   /home/j/www    nullfs  ro  0   0
    /home/js/ns     /home/j/ns/s   nullfs  rw  0   0
    /home/js/mail   /home/j/mail/s nullfs  rw  0   0
    /home/js/www    /home/j/www/s  nullfs  rw  0   0

    Οι κατατμήσεις που είναι σημειωμένες με 0 pass number δεν ελέγχονται κατά την εκκίνηση από το fsck(8), ενώ για τις κατατμήσεις με 0 dump number, η dump(8) δεν θα δημιουργεί αντίγραφα ασφαλείας. Προφανώς, δεν θέλουμε το fsck να ελέγχει τις προσαρτήσεις τύπου nullfs, ούτε και το dump να κρατά αντίγραφα από τα μόνο για ανάγνωση nullfs συστήματα αρχείων των jails. Αυτός είναι και ο λόγος που βάλαμε "0 0" στις δύο τελευταίες στήλες κάθε εγγραφής του fstab.

  2. Ρυθμίστε τα jails στο /etc/rc.conf:

    jail_enable="YES"
    jail_set_hostname_allow="NO"
    jail_list="ns mail www"
    jail_ns_hostname="ns.example.org"
    jail_ns_ip="192.168.3.17"
    jail_ns_rootdir="/home/j/ns"
    jail_ns_devfs_enable="YES"
    jail_mail_hostname="mail.example.org"
    jail_mail_ip="192.168.3.18"
    jail_mail_rootdir="/home/j/mail"
    jail_mail_devfs_enable="YES"
    jail_www_hostname="www.example.org"
    jail_www_ip="62.123.43.14"
    jail_www_rootdir="/home/j/www"
    jail_www_devfs_enable="YES"

    Ο λόγος για τον οποίο θέτουμε τη μεταβλητή jailnamerootdir να δείχνει στο /usr/home αντί για το /home είναι ότι η φυσική διαδρομή για τον κατάλογο /home σε μια τυπική εγκατάσταση του FreeBSD είναι το /usr/home. Η μεταβλητή jailnamerootdir δεν δεν πρέπει να δείχνει προς διαδρομή που περιλαμβάνει συμβολικό δεσμό, διαφορετικά τα jails θα αρνηθούν να ξεκινήσουν. Χρησιμοποιήστε το βοηθητικό πρόγραμμα realpath(1) για να προσδιορίσετε την τιμή που θα πρέπει να λάβει αυτή η μεταβλητή. Δείτε το FreeBSD-SA-07:01.jail Security Advisory για περισσότερες πληροφορίες.

  3. Δημιουργήστε τα απαραίτητα σημεία προσαρτήσεων για το σύστημα αρχείων μόνο ανάγνωσης του κάθε jail:

    # mkdir /home/j/ns /home/j/mail /home/j/www
  4. Εγκαταστήστε το εγγράψιμο template μέσα στο κάθε jail. Προσέξτε εδώ τη χρήση του sysutils/cpdup, το οποίο επιβεβαιώνει ότι δημιουργείται το σωστό αντίγραφο του κάθε καταλόγου:

    # mkdir /home/js
    # cpdup /home/j/skel /home/js/ns
    # cpdup /home/j/skel /home/js/mail
    # cpdup /home/j/skel /home/js/www
  5. Σε αυτή τη φάση, τα jails έχουν δημιουργηθεί και είναι έτοιμα να ξεκινήσουν. Προσαρτήστε το σωστό σύστημα αρχείων για το κάθε jail, και στη συνέχεια εκκινήστε τα, χρησιμοποιώντας το script /etc/rc.d/jail:

    # mount -a
    # /etc/rc.d/jail start

Τα jails θα πρέπει τώρα να εκτελούνται κανονικά. Γα να ελέγξετε αν έχουν ξεκινήσει σωστά, χρησιμοποιείστε την εντολή jls(8). Θα πρέπει να δείτε κάτι αντίστοιχο με το παρακάτω:

# jls
   JID  IP Address      Hostname                      Path
     3  192.168.3.17    ns.example.org                /home/j/ns
     2  192.168.3.18    mail.example.org              /home/j/mail
     1  62.123.43.14    www.example.org               /home/j/www

Σε αυτό το σημείο, θα πρέπει να μπορείτε να συνδεθείτε σε κάθε jail, να προσθέσετε νέους χρήστες ή να ρυθμίσετε υπηρεσίες. Η στήλη JID δηλώνει το χαρακτηριστικό αναγνωριστικό αριθμό κάθε ενεργού jail. Χρησιμοποιήστε την παρακάτω εντολή προκειμένου να εκτελέσετε εργασίες διαχείρισης του jail, με JID 3:

# jexec 3 tcsh

16.6.1.4. Αναβάθμιση

Κάποια στιγμή, θα χρειαστεί να αναβαθμίσετε το σύστημά σας σε μια νέα έκδοση του FreeBSD, είτε για λόγους ασφάλειας, είτε γιατί υπάρχουν νέες δυνατότητες στην νεώτερη έκδοση οι οποίες είναι χρήσιμες για τα jails που ήδη έχετε. Ο τρόπος που χρησιμοποιήσαμε για την δημιουργία των jails, επιτρέπει την εύκολη αναβάθμιση τους. Επιπλέον, ελαχιστοποιεί το χρόνο διακοπής της λειτουργίας τους, μια και θα χρειαστεί να τα σταματήσετε μόνο κατά τα λίγα τελευταία λεπτά. Επίσης, παρέχει έναν τρόπο να επιστρέψετε σε παλαιότερες εκδόσεις εάν προκύψουν οποιαδήποτε σφάλματα.

  1. Το πρώτο βήμα είναι να αναβαθμίσετε το σύστημα στο οποίο φιλοξενούνται τα jails, με το συνήθη τρόπο. Στη συνέχεια δημιουργήστε ένα νέο προσωρινό template κατάλογο, μόνο για ανάγνωση, στο /home/j/mroot2.

    # mkdir /home/j/mroot2
    # cd /usr/src
    # make installworld DESTDIR=/home/j/mroot2
    # cd /home/j/mroot2
    # cpdup /usr/src usr/src
    # mkdir s

    Το installworld δημιουργεί μερικούς καταλόγους που δε χρειάζονται, και θα πρέπει να διαγραφούν:

    # chflags -R 0 var
    # rm -R etc var root usr/local tmp
  2. Δημιουργήστε ξανά τους συνδέσμους για το σύστημα αρχείων ανάγνωσης - εγγραφής:

    # ln -s s/etc etc
    # ln -s s/root root
    # ln -s s/home home
    # ln -s ../s/usr-local usr/local
    # ln -s ../s/usr-X11R6 usr/X11R6
    # ln -s s/tmp tmp
    # ln -s s/var var
  3. Τώρα είναι η σωστή στιγμή για να σταματήσετε τα jails:

    # /etc/rc.d/jail stop
  4. Αποπροσαρτήστε τα αρχικά συστήματα αρχείων:

    # umount /home/j/ns/s
    # umount /home/j/ns
    # umount /home/j/mail/s
    # umount /home/j/mail
    # umount /home/j/www/s
    # umount /home/j/www

    Τα συστήματα αρχείων ανάγνωσης - εγγραφής είναι προσαρτημένα στο σύστημα αρχείων μόνο ανάγνωσης (/s) και πρέπει να είναι τα πρώτα που θα αποπροσαρτηθούν.

  5. Μετακινήστε τον παλιό μόνο για ανάγνωση κατάλογο, και αντικαταστήστε τον με τον καινούργιο. Ο παλιός θα παραμείνει ως αντίγραφο ασφαλείας του παλιού συστήματος σε περίπτωση προβλήματος. Ο τρόπος ονομασίας που ακολουθήσαμε εδώ αντιστοιχεί στη χρονική στιγμή δημιουργίας του νέου συστήματος αρχείων μόνο ανάγνωσης. Μετακινήστε την αρχική συλλογή των Ports του FreeBSD στο νέο σύστημα, αρχείων προκειμένου να εξοικονομήσετε χώρο και inodes:

    # cd /home/j
    # mv mroot mroot.20060601
    # mv mroot2 mroot
    # mv mroot.20060601/usr/ports mroot/usr
  6. Σε αυτό το σημείο το μόνο για ανάγνωση template είναι έτοιμο, οπότε το μόνο που απομένει είναι να προσαρτήσετε ξανά τα συστήματα αρχείων και να ξεκινήσετε τα jails:

    # mount -a
    # /etc/rc.d/jail start

Χρησιμοποιείτε την εντολή jls(8) για να ελέγξετε εάν τα jails ξεκίνησαν σωστά. Μην ξεχάσετε να εκτελέσετε το mergemaster για το κάθε jail. Θα χρειαστεί να αναβαθμίσετε τόσο τα αρχεία ρυθμίσεων, όσο και τα rc.d scripts.


Last modified on: 11 Δεκεμβρίου 2021 by Sergio Carlavilla Delgado