tomcat 的 chroot 配置 – Yilun Gong (龚逸伦)

最近配置tomcat，看到网上的一些教程，觉得有些缺陷，故摘抄至此（红色为修改部分）。至于新版本tomcat和java的配置，略有不同，特别是库文件的位置，但大同小异，也就leave them here了…
Read More...

chroot命令格式

chroot <new root path> <command> <command args>

（1）建立chroot目录

mkdir /usr/local/chroot
cd /usr/local/chroot

以下所有的路径是相对于/usr/local/chroot

（2）建立相关文件夹，并赋于权限

mkdir -p lib etc tmp dev usr
chmod 755 etc dev usr
chmod 1777 tmp

（3）复制jdk到相应目录

mkdir usr/jdk
cp -R /usr/local/jdk1.6.0_10/ usr/jdk/

（4）以下添加jvm需要的lib

# jvm need lib
ldd /usr/local/jdk1.6.0_10/bin/java
cp /lib/tls/libpthread.so.0 lib/tls
cp /lib/libdl.so.2 lib
cp /lib/tls/libc.so.6 lib/tls
cp /lib/ld-linux.so.2 lib
cp /lib/libm.so.6 lib
cp /lib/libnsl.so.1 lib

（5）添加dev

/dev/MAKEDEV -d /usr/local/chroot/dev null random urandom zero loop* log console
cp /dev/MAKEDEV /usr/local/chroot/dev/
cp -R /dev/shm dev/

（6）mount proc filesystem

mkdir proc
mount -t proc proc /usr/local/chroot/proc/

（7）复制conf

cp -a /etc/hosts /etc/resolv.conf /etc/nsswitch.conf etc

（8）添加dns需要的lib

cp -p /lib/libresolv.so.2 lib/
cp -p /lib/libnss_dns.so.2 lib/
cp -p /lib/libnss_files.so.2 lib/

（9）添加bash shell需要的lib，并添加shell命令 (按照tomcat安全配置的书上说最好不要加入bash，防止提权以致jail失效，但无shell似乎tomcat的启动脚本无法执行)

# bash shell
mkdir bin
cp /bin/bash bin/
ln -s /bin/bash bin/sh
cp -p /lib/libtermcap.so.2 lib/
cp -p /lib/libdl.so.2 lib/
cp -p /lib/libc.so.6 lib/
cp -p /lib/ld-linux.so.2 lib/

# add command
cp /bin/uname /usr/local/chroot/bin/
cp /usr/bin/dirname /usr/local/chroot/bin/
cp /bin/touch /usr/local/chroot/bin/
cp /lib/tls/librt.so.1 /usr/local/chroot/lib/tls
cp /usr/bin/tty /usr/local/chroot/bin/

（10）在chroot中运行java命令看是否能正确运行

# run chroot
chroot /usr/local/chroot/ /usr/jdk/jdk1.6.0_10/bin/java -version
strace chroot /usr/local/chroot/ /usr/jdk/jdk1.6.0_10/bin/java -version

如果不能正确运行，看缺少什么库，添上它

（11）复制tomcat，配置环境，并启动tomcat

cp -R /usr/local/apache-tomcat-5.5.28/ .

# add JAVA_HOME CATALINA_HOME to catalina.sh
export JAVA_HOME="/usr/jdk/jdk1.6.0_10/"
export CATALINA_HOME="/usr/apache-tomcat-5.5.28"

（12）Edit passwd等

cp /etc/passwd /usr/local/chroot/etc/
cp /etc/group /usr/local/chroot/etc/

编辑passwd，只剩一个受限账户，即为tomcat运行的账户

（13） start tomcat

chroot --userspec=USERNAME:GROUP /usr/local/chroot/ /usr/apache-tomcat-5.5.28/bin/catalina.sh start

USERNAME为启动的用户名，GROUP为启动的GROUP

摘自Wiki:

特权分离一个被允许打开文件实例（如文件、链接、网络连接）的软件被放入chroot中，这是对不必要留下在chroot目录工作文件的简单设计。同时也是一个简单的沙盘，也可以防御安全漏洞。注意！有root特权的程序,chroot是没有防御力的。

所以勿以root执行tomcat，否则chroot形同虚设。

发表回复 取消回复

发表回复取消回复