如何以Solaris架设FTP虚拟系统

1.何谓虚拟系统 '虚拟系统'的意思是'假的系统'，亦即当一个使用者使用的是'虚拟系统'时， 他所看到的系统档案及程式，并不是系统管理者所使用的档案。 例如管理者键入'ls;-al;;/usr/bin/ls'的命令时，看到的档案大小为32767; bytes，而其他使用者键入'ls;;-al;;/usr/bin/ls'的命令时，看到的却为65535; bytes，表示为两个档案的路径虽然相同，但却为不同的档案。 2.虚拟系统的功能为何 (1);避免其它使用者使用重要资料 若您不愿意让使用者观看或执行某些档案，那你可以使用虚拟系统，让 使用者看不到特定的档案，或是创造另一个与真正档案内容不同的档案。 (2);增加系统安全性 若您必须开放使用者登入机器，又害怕使用者利用系统内部的漏洞取得额 外的权限，破坏系统设定与窃取资料，使用虚拟系统将可以保护系统的资 料与系统运作，让恶意的使用者只能做到有限的破坏。 3.如何以Solaris架设虚拟系统 其实所谓的'虚拟系统'，主要是利用chroot(Change;Root)来达成，亦即改变根 目录的位置，而使得系统对应到一新的系统设定中。 要达到这个目的，大致上可分为两种方法，一是修改程式码，另外一个则是用 系统本身的命令来达成。 在此我们并不打算详细说明有关修改程式码的部份如何做，简单的说，程式部 份主要是利用chroot()这个C函式来改变根目录的位置，较为麻烦的地方在於你 可能要修改inetd程式或其它网路服务程式，当然你也可以自己写这些程式， 不过不是每个管理者都对攒写程式有兴趣的。 但不论你采用哪一种方法，有一件事是都需要做的，那就是创造一个虚拟的系 统环境。以下简单列出如何在'/vs'这个目录下，创造一个新的系统环境，并且 不修改程式来启动虚拟系统的服务: tar;-cf;/system.tar;/var;/usr;/etc;/dev;/devices 将系统中的/var,;/usr,;/etc,;/dev,;/devices压入system.tar这个档。 tar;-xf;/system.tar;/vs 将system.tar这个档的资料解开放在/vs目录下。 以上两行指令便能系统的档案到'/vs'目录去，此时当你下达'chroot;/vs; /usr/bin/sh'指令时，将会得到和原本系统相似的环境。而在这样的环境中，使 用者不结束目前的shell(chroot後所得的的shell)是无法藉由任何指令返回原来 的系统的。 然而事实上你不需要全部的系统档案到'虚拟系统'去，只要所需的档 案即可。至於什麽是所需的档案，端看你安装了哪些服务。底下所列为在'/vs' 中创造FTP的'虚拟系统'做法: (1)'虚拟系统'中的'/etc'目录 创造'虚拟系统'中的'/etc'目录，以放置密码及设定档。 mkdir;/vs/etc; 设定'虚拟系统'中的'/etc/inetd.conf'档。 echo;'ftp;;;stream;;tcp;;;nowait;;root;;/usr/sbin/in.ftpdin.ftpd';>;/vs/etc/inetd.conf 设定'虚拟系统'中的'/etc/passwd'档。 echo;'root:x:0:1:Super-User:/:/usr/bin/tcsh';>;/vs/etc/passwd echo;'ftp:x:60:60:Anonymous;Ftp:/:/dev/null';>>;/vs/etc/passwd 设定'虚拟系统'中的'/etc/shadow'档。 echo;'root:NP:6445::::::';>;/vs/etc/shadow echo;'ftp:NP:6445::::::';>>;/vs/etc/shadow (2);'虚拟系统'中的'/var'目录 创造'虚拟系统'中的'/var'目录，以放置系统记录档。 mkdir;/vs/var mkdir;/vs/var/adm (3);'虚拟系统'中的'/usr'目录 创造'虚拟系统'中的'/var'目录，以放置系统程式及程式库。 mkdir;/vs/usr mkdir;/vs/usr/bin mkdir;/vs/usr/sbin mkdir;/vs/usr/lib 从'/usr/lib'拷贝下列档案至'/vs/usr/lib' ld.so.1 libauth.so.1 libbsm.so.1 libc.so.1 libcmd.so.1 libcrypt_i.so.1 libdl.so.1 libgen.so.1 libmp.so.1 libmp.so.2 libnsl.so.1 libsocket.so.1 nss_files.so.1 从'/usr/bin'拷贝下列档案至'/vs/usr/bin' *ls 从'/usr/sbin'拷贝下列档案至'/vs/usr/sbin' *in.ftpd;(FTP伺服器程式) *inetd;(Internet;Super;Daemon) (4)'虚拟系统'中的'/dev'与'/devices'目录 作'/dev'、'/devices'的tar档。 tar;-cf;/dev.tar;/dev;/devices 将tar档解至'/vs'目录下。 tar;-xf;/dev.tar;/vs 删除tar档 rm;/dev.tar (5)启动服务 chroot;/vs;/usr/sbin/inetd;-s; 此步骤须注意是否关闭原始系统中inetd.conf的ftp选项，否则无法正常启动。 4.结语 有人或许会问，anonymous;ftp本身就有做chroot的动作，为何还要自己做一个虚拟 系统呢?;事实上，FTP服务若有漏洞，入侵者可透过漏洞取得root权限，此时anonymous; ftp的chroot未必会被执行，若未执行chroot，那整个系统就暴露在入侵者眼前，但若你 做了虚拟系统，将强制使用者连线时已在虚拟系统中，即使入侵者透过漏洞取得root 权限，亦会被限制於虚拟系统中，将难以破坏原本的系统，如此可将系统损害降低。 至於其它的服务如何在虚拟系统中启动，方法与步骤是相似的，有问题欢迎来信讨论 ，请寄至twcert@cert.org.tw。