Команда chroot

Команда chroot позволяет выполнить другую команду с измененным путем к корневой директории. Хотя она и может пригодиться для выполнения различных административных задач, чаще всего о ней упоминают как о методе защиты отдельных служб или процессов, заключающемся в их запуске с использованием новой нестандартной корневой директории. Преимущество данного метода заключается в том, что служба или процесс исполняется в окружении chroot, изолированном от таких важных хранилищ системных файлов, как директория /etc или других не менее важных файлов, хранящихся в системных директориях. Вместе с данным методом защиты используется еще один метод, заключающийся в запуске служб или процессов с использованием учетных записей пользователей с минимальными наборами привилегий.

Например, при активации поддержки chroot служба доменных имен named использует в качестве корневой директории директорию /var/named/ и запускается от лица локального пользователя с именем «named» (с минимальными привилегиями) в отличие от корневой директории системы и учетной записи пользователя root. Поэтому если сервер named будет скомпрометирован взломщиком или вредоносной программой, будут повреждены лишь файлы из директории /var/named (новой корневой директории сервера), ведь служба named не может получить доступ к файлам, находящимися за приделами окружения chroot, а пользователь с именем named не имеет достаточных прав для чтения каких-либо других системных файлов.

Обратите внимание на то, что окружение chroot все же можно покинуть с помощью различных специальных техник. Одна из таких техник связана с созданием файла устройства (с помощью команды mknod) для жесткого диска в рамках окружения chroot и доступом к содержимому этого жесткого диска посредством созданного файла устройства. Еще одна техника связана с осуществлением манипуляций с сетевым трафиком, передаваемым на машину и отправляемым с нее. Наконец, существует еще одна техника, связанная с управлением работой ядра ОС либо напрямую, либо посредством дополнительных загруженных модулей.

Базовый синтаксис команды выглядит следующим образом:

# chroot [параметры] <новая корневая директория> <команда>

Вы можете указать имена пользователя и группы пользователей, от лица которых должна быть выполнена команда, с помощью параметра --userspec=<имя пользователя>:<имя группы пользователей> или перечислить дополнительные группы пользователей будущего процесса с помощью параметра --groups=<группа 1>, ..., <группа n>.

Примеры использования

Запуск процесса с измененной корневой директорией

# chroot /home/alex /home/alex/myprogram

Запуск процесса с измененной корневой директорией от лица другого пользователя

# chroot --userspec=test:test /home/alex /home/alex/myprogram

Запуск процесса с измененной корневой директорией с дополнительными группами пользователей

# chroot --userspec=test:test --groups=dialout /home/alex /home/alex/myprogram

Советы по использованию поддержки chroot в системных службах

Для того, чтобы сократить шансы проникновения злоумышленников за пределы окружения chroot с помощью одной из выше описанных техник следует смонтировать файловую систему для окружения chroot с параметром «nodev». Создание небольшой узловой файловой системы или раздела для окружения chroot не представляет каких-либо сложностей.

Apache

Хотя веб-сервер Apache и может быть запущен посредством команды chroot таким же образом, как и любая системная служба, существует также специализированный модуль под названием «mod_chroot», который может использоваться для автоматического запуска Apache в окружении chroot после добавления дополнительной строки в файл конфигурации /etc/httpd.conf.

BIND

BIND является одной из самых печально известных программ в плане информационной безопасности. Это отличный кандидат для запуска в рамках окружения chroot, так как после запуска ей не требуется осуществлять доступ к каким-либо файлам конфигурации помимо собственных.

FTP

Некоторые серверы FTP автоматически активируют поддержку chroot после добавления символа точки «.» (соответствующего текущей директории) в путь к домашней директории соответствующего пользователя в файле /etc/passwd.