Jailkit和jailed Shell

受限shell（Jailed Shell）是一類被限制的shell，它看起來(lái)非常像真實(shí)的Shell，但是它不允許查看和修改真實(shí)的文件系統(tǒng)的任何部分。Shell內(nèi)的文件系統(tǒng)不同于底層的文件系統(tǒng)。這種功能是通過(guò)chroot和其他多種程序?qū)崿F(xiàn)的。舉例來(lái)說(shuō)，給用戶建立一個(gè)Linux shell去讓他“玩玩”，或者在一個(gè)限定的環(huán)境里運(yùn)行一些程序的所有功能等等。

[[92350]]

本文中我們將會(huì)探討在Ubuntu下用jailkit建立一個(gè)受限shell。Jailkit是一個(gè)讓你快速建立一個(gè)受限shell的工具，將受限用戶放到里面，并配置那些要在受限制環(huán)境里運(yùn)行的程序。

Jailkit 從這里下載：http://olivier.sessink.nl/jailkit/

在Ubuntu/Debian 上安裝 jailkit

1. 因?yàn)閖aikit需要在系統(tǒng)上編譯，首先，我們需要有用于編譯的那些工具。所以，安裝如下包：

$ sudo apt-get install build-essential autoconf automake libtool flex bison debhelper binutils-gold 

2. 從下述URL下載Jailkit，或者訪問(wèn)它的網(wǎng)站以下載最新版本的，如果有了更新版本的話。http://olivier.sessink.nl/jailkit/jailkit-2.16.tar.gz

$ wget http://olivier.sessink.nl/jailkit/jailkit-2.16.tar.gz 

3. 解壓

$ tar -vxzf jailkit-2.16.tar.gz 

4. 編譯并創(chuàng)建deb軟件包

Jailkit已經(jīng)包含了用于編譯成deb軟件包的代碼和配置，可以直接安裝在Debian系的Linux上。運(yùn)行下列命令來(lái)完成它。

$ cd jailkit-2.16/ 
$ sudo ./debian/rules binary 

5. 安裝deb軟件包

上述命令創(chuàng)建的deb軟件包叫做： jailkit2.16-1amd64.deb.

$ cd .. 
$ sudo dpkg -i jailkit_2.16-1_amd64.deb 

就是這樣，現(xiàn)在Jailkit已經(jīng)安裝完成了。Jailkit有許多命令可以用來(lái)設(shè)置一個(gè)基于chroot的受限環(huán)境，如下是這些命令：

$ jk_ 
jk_addjailuser   jk_chrootlaunch  jk_cp            jk_jailuser      jk_lsh           jk_uchroot        
 
jk_check         jk_chrootsh      jk_init          jk_list          jk_socketd       jk_update 

上述命令都有man幫助信息，如果你使用它們時(shí)，可以參考。

配置Jailed Shell

1. 配置受限環(huán)境

我們需要建立一個(gè)目錄來(lái)存放所有受限環(huán)境的配置。目錄隨便放在什么地方，比如我們可以創(chuàng)建個(gè)/opt/jail的目錄。

$ sudo mkdir /opt/jail 

這個(gè)目錄應(yīng)為Root所有。用chown改變屬主。

$ sudo chown root:root /opt/jail 

2. 設(shè)置在受限環(huán)境中可用的程序

任何程序想要在受限環(huán)境中執(zhí)行則必須用jk_init命令拷貝到目錄中。

例如：

$ sudo jk_init -v /jail basicshell  
$ sudo jk_init -v /jail editors  
$ sudo jk_init -v /jail extendedshell  
$ sudo jk_init -v /jail netutils  
$ sudo jk_init -v /jail ssh  
$ sudo jk_init -v /jail sftp 
$ sudo jk_init -v /jail jk_lsh 

或一次性解決：

$ sudo jk_init -v /opt/jail netutils basicshell jk_lsh openvpn ssh sftp 

像basicshell, editors, netutils是一些組名，其中包含多個(gè)程序。復(fù)制到j(luò)ail shell中的每個(gè)組都是可執(zhí)行文件、庫(kù)文件等的集合。比如basicshell就在jail提供有bash, ls, cat, chmod, mkdir, cp, cpio, date, dd, echo, egrep等程序。

完整的程序列表設(shè)置，你可以在/etc/jailkit/jk_init.ini中查看。

3. 創(chuàng)建將被監(jiān)禁的用戶

需要將一個(gè)用戶放入jail里?？梢韵葎?chuàng)建一個(gè)

$ sudo adduser robber 
Adding user `robber' ... 
Adding new group `robber' (1005) ... 
Adding new user `robber' (1006) with group `robber' ... 
Creating home directory `/home/robber' ... 
Copying files from `/etc/skel' ...   
Enter new UNIX password:  
Retype new UNIX password:  
passwd: password updated successfully 
Changing the user information for robber 
Enter the new value, or press ENTER for the default 
    Full Name []:  
    Room Number []:  
    Work Phone []:  
    Home Phone []:  
    Other []:  
Is the information correct? [Y/n] y 

注意：目前創(chuàng)建的是一個(gè)在實(shí)際文件系統(tǒng)中的普通用戶，并沒(méi)有添加到受限環(huán)境中。

在下一步這個(gè)用戶會(huì)被放到受限環(huán)境里。

這時(shí)候如果你查看/etc/passwd文件，你會(huì)在文件最后看到跟下面差不多的一個(gè)條目。

robber:x:1006:1005:,,,:/home/robber:/bin/bash 

這是我們新創(chuàng)建的用戶，最后部分的/bin/bash指示了這個(gè)用戶如果登入了那么它可以在系統(tǒng)上正常的Shell訪問(wèn)

4. 限制用戶

現(xiàn)在是時(shí)候?qū)⒂脩粝拗?/p>

$ sudo jk_jailuser -m -j /opt/jail/ robber 

執(zhí)行上列命令后，用戶robber將會(huì)被限制。

如果你現(xiàn)在再觀察/etc/passwd文件，會(huì)發(fā)現(xiàn)類似下面的最后條目。

robber:x:1006:1005:,,,:/opt/jail/./home/robber:/usr/sbin/jk_chrootsh 

注意：最后兩部分表明用戶主目錄和shell類型已經(jīng)被改變了?，F(xiàn)在用戶的主目錄在/opt/jail(受限環(huán)境)中。用戶的Shell是一個(gè)名叫jk_chrootsh的特殊程序，會(huì)提供Jailed Shell。

jk_chrootsh這是個(gè)特殊的shell，每當(dāng)用戶登入系統(tǒng)時(shí)，它都會(huì)將用戶放入受限環(huán)境中。

到目前為止受限配置已經(jīng)幾乎完成了。但是如果你試圖用ssh連接，那么注定會(huì)失敗，像這樣：

$ ssh robber@localhost 
robber@localhost's password:  
Welcome to Ubuntu 12.04 LTS (GNU/Linux 3.2.0-25-generic x86_64) 
* Documentation:  https://help.ubuntu.com/ 
13 packages can be updated. 
0 updates are security updates. 
*** /dev/sda7 will be checked for errors at next reboot *** 
*** /dev/sda8 will be checked for errors at next reboot *** 
Last login: Sat Jun 23 12:45:13 2012 from localhost 
Connection to localhost closed. 
$ 

連接會(huì)立馬關(guān)閉，這意味著用戶已經(jīng)活動(dòng)在一個(gè)受限制的shell中。

5. 給在jail中的用戶Bash Shell

下個(gè)重要的事情是給用戶在限制環(huán)境中的一個(gè)正確的bash shell。

打開(kāi)下面的文件

/opt/jail/etc/passwd 

這是個(gè)jail中的password文件。類似如下

root:x:0:0:root:/root:/bin/bash 
robber:x:1006:1005:,,,:/home/robber:/usr/sbin/jk_lsh 

將/usr/sbin/jk_lsh改為/bin/bash

root:x:0:0:root:/root:/bin/bash 
robber:x:1006:1005:,,,:/home/robber:/bin/bash 

保存文件并退出。

6. 登入限制環(huán)境

現(xiàn)在讓我們?cè)俅蔚侨胧芟蕲h(huán)境

$ ssh robber@localhost 
robber@localhost's password:  
Welcome to Ubuntu 12.04 LTS (GNU/Linux 3.2.0-25-generic x86_64) 
 * Documentation:  https://help.ubuntu.com/ 
13 packages can be updated. 
0 updates are security updates. 
*** /dev/sda7 will be checked for errors at next reboot *** 
*** /dev/sda8 will be checked for errors at next reboot *** 
Last login: Sat Jun 23 12:46:01 2012 from localhost 
bash: groups: command not found 
I have no name!@desktop:~$ 

受限環(huán)境說(shuō)'I have no name!'，哈哈?，F(xiàn)在我們?cè)谑芟蕲h(huán)境中有了個(gè)完整功能的bash shell。

現(xiàn)在看看實(shí)際的環(huán)境。受限環(huán)境中的根目錄實(shí)際就是真實(shí)文件系統(tǒng)中的/opt/jail。但這只有我們自己知道，受限用戶并不知情。

I have no name!@desktop:~$ cd / 
I have no name!@desktop:/$ ls 
bin  dev  etc  home  lib  lib64  run  usr  var 
I have no name!@desktop:/$ 

也只有我們通過(guò)jk_cp拷貝到j(luò)ail中的命令能使用。

如果登入失敗，請(qǐng)檢查一下/var/log/auth.log的錯(cuò)誤信息。

現(xiàn)在嘗試運(yùn)行一些網(wǎng)絡(luò)命令，類似wget的命令。

$ wget http://www.google.com/ 

如果你獲得類似的錯(cuò)誤提示：

$ wget http://www.google.com/ 
--2012-06-23 12:56:43--  http://www.google.com/ 
Resolving www.google.com (www.google.com)... failed: Name or service not known. 
wget: unable to resolve host address `www.google.com' 

你可以通過(guò)運(yùn)行下列兩條命令來(lái)解決這個(gè)問(wèn)題：

$ sudo jk_cp -v -j /opt/jail /lib/x86_64-linux-gnu/libnss_files.so.2 
$ sudo jk_cp -v -j /opt/jail /lib/x86_64-linux-gnu/libnss_dns.so.2 

這樣才能正確的定位到libnssfiles.so和libnssdns.so

在限制環(huán)境中運(yùn)行程序或服務(wù)

現(xiàn)在配置已經(jīng)完成了?？梢栽谙拗?安全的環(huán)境里運(yùn)行程序或服務(wù)。要在限制環(huán)境中啟動(dòng)一個(gè)程序或守護(hù)進(jìn)程可以用jk_chrootlaunch命令。

$ sudo jk_chrootlaunch -j /opt/jail -u robber -x /some/command/in/jail 

jk_chrootlaunch工具可以在限制環(huán)境中啟動(dòng)一個(gè)特殊的進(jìn)程同時(shí)指定用戶特權(quán)。如果守護(hù)進(jìn)程啟動(dòng)失敗，請(qǐng)檢查/var/log/syslog/錯(cuò)誤信息。

在限制環(huán)境中運(yùn)行程序之前，該程序必須已經(jīng)用jk_cp命令復(fù)制到j(luò)ail中。

進(jìn)一步閱讀有關(guān)其他jailkit命令信息，可以閱讀文檔，http://olivier.sessink.nl/jailkit/

via: http://www.binarytides.com/install-jailkit-ubuntu-debian/

via: http://www.binarytides.com/setup-jailed-shell-jailkit-ubuntu/