Небезопасные сервисы - это потенциальные дыры в системе безопасности. Взломав такой сервис, хакер часто получает возможность исполнять команды от имени пользователя, который запустил этот сервис. Если сервис ра­ботает от пользователя root, можно представить, что хакер сделает с системой.

     Идеально было бы запускать сервисы в «песочницах» - то есть задать такие ограничения для сервиса, при которых хакер не может разрушить систему или повлиять на работу прочих сервисов. Такой «песочницей» представляется chroot-окружение.

     Идея chroot-окружения крайне проста: в некотором каталоге создается минимальная структура ка­талогов, необходимая для запуска этого сервиса, которая эмулирует корневую файловую систему, то есть в этом подката­логе будут подкаталоги /bin, /lib, /etc и другие.

     В каталоге /bin будут только те выполняемые файлы, которые надобны конкретному сервису, в каталоге /lib - только те библиотеки, которые необходимы этому сервису, а в каталоге /etc - конфигурационные фай­лы самого сервиса, а не конфигурационные файлы всей системы.

     При запуске сервиса выполняется системный вызов chroot() (изменение кор­невого каталога), где в качестве параметра задается каталог, который содержит нужную структуру каталогов, похожую на корневую файловую систе­му.

     Большинство известных сервисов поддерживают запуск в chroot-окружении (на­пример, Apache и BIND). Может быть несколько chroot-каталогов - по одному на каждый сервис, который выполняется в chroot-окружении. Что это дает? При взломе сервиса хакер получит доступ не к корневой файловой системе, а только к тому каталогу, который был сде­лан для сервиса корневым.

     Рассмотрим создание такого окружения для анонимного FTP-сервера. Анонимный FTP-сервер дает доступ к пуб­личным файлам любому пользователю, при этом надо указать только свой e-mail, но этот любой пользователь с таким же успехом может указать любой e-mail.

     Давать доступ ко всей файловой системе сервера крайне нежелательно. Нужно ограничить доступ сервера только час­тью файловой системы, например каталогом /var/ftp. Сразу после регис­трации анонимного пользователя FTP-сервер вызывает chroot(), а затем вызывается chdir() для перехода на только что определенный корень фай­ловой системы.

     На рисунке выделенная область применяется в качестве корневой файло­вой системы FTP-сервера. Когда анонимный пользователь введет команду cd/bin, он перейдет не в каталог /bin, а в каталог /usr/ftp/bin.

     Создание Chroot-окружения.

     Самое сложное - определить, какие файлы будут обязательны FTP-серверу. Ведь теперь можно так заполнить каталоги /var/ftp/bin, /var/ftp/etc и /var/ftp/lib, чтобы запуск FTP-сервера был возмо­жен. Прежде всего нужно создать минимальную файло­вую систему:

     К сожалению, Linux-реализация chroot-окружения не такая надежная, как, например, BSD-реализация. Если процесс запущен в chroot-окружении от имени пользователя root (а от имени этого пользователя за­пускается достаточно много сервисов), то он может «бежать из песочницы», используя всем известные технологии. Звучит парадоксально, но так оно и есть: демоны, запущенные от имени root, являются наиболее уязвимыми к атаке.

     Если нужно запускать не root-сервис в «песочнице», предотвратив та­ким образом возможность получения полномочий пользователя root, не надо запускать в «песочнице» его от имени root, иначе он сможет из нее «убе­жать».

     Решение просто: нельзя создавать учетные записи с полномочиями root в chroot-окружении. Если не будет пользователя root, хакер не сможет получить его права.