浅析在FreeBSD中建立chroot的FTP服务
发布时间:2007-03-27 16:30:00
1、准备基本的chroot环境
在进入chroot环境之前要先准备好相应的设置,在本例中我们打算将ftpd chroot到/var/chroot目录中。
因为系统自带的ftpd在/usr/libexec/目录,所以我们需要在/var/chroot中执行以下操作:
matthew@bsd# mkdir -p /var/chroot/usr/libexec
然后将ftpd复制到该目录中:
matthew@bsd# install -C /usr/libexec/ftpd /var/chroot/usr/libexec
接下来要做的就是将ftpd需要的库也复制到chroot目录中,我们可以使用ldd来检测ftpd运行时需要哪些库:
matthew@bsd# ldd /usr/libexec/ftpd
/usr/libexec/ftpd:
libskey.so.2 => /usr/lib/libskey.so.2 (0x28074000)
libmd.so.2 => /usr/lib/libmd.so.2 (0x2807b000)
libcrypt.so.2 => /usr/lib/libcrypt.so.2 (0x28084000)
libutil.so.3 => /usr/lib/libutil.so.3 (0x2809d000)
libpam.so.1 => /usr/lib/libpam.so.1 (0x280a6000)
libc.so.4 => /usr/lib/libc.so.4 (0x280af000)
ldd的运行结果显示了ftpd运行时需要库,现在我们只要把这些库安装到我们的chroot的相应目录中便可:
matthew@bsd# mkdir -p /var/chroot/usr/lib
matthew@bsd# install -C /usr/lib/libskey.so.2 /var/chroot/usr/lib
matthew@bsd# install -C /usr/lib/libmd.so.2 /var/chroot/usr/lib
matthew@bsd# install -C /usr/lib/libcrypt.so.2 /var/chroot/usr/lib
matthew@bsd# install -C /usr/lib/libutil.so.3 /var/chroot/usr/lib
matthew@bsd# install -C /usr/lib/libpam.so.1 /var/chroot/usr/lib
matthew@bsd# install -C /usr/lib/libc.so.4 /var/chroot/usr/lib
2、第一次进入chroot环境
现在我们可以试试看ftpd能不能在我们的chroot环境中运行:
matthew@bsd# chroot /var/chroot /usr/libexec/ftpd
ELF interpreter /usr/libexec/ld-elf.so.1 not found
程序出错,根据提示在/usr/libexec中还缺少文件ld-elf.so.1,由于我们的ftpd是在chroot环境中运行,所以我们应该将ld-elf.so.1复制到我们的chroot环境中,即/var/chroot/usr/libexec中:
matthew@bsd# install -C /usr/libexec/ld-elf.so.1 /var/chroot/usr/libexec
现在我们再次试着进入我们的chroot环境:
matthew@bsd# chroot /var/chroot /usr/libexec/ftpd
这次没有任何提示说明我们的运行库已经准备好了,但是由于ftpd在不带-D参数的时候运行完后就会自动退出,所以现在我们还无法从远程登录ftp服务,那么我们试着在ftpd后面加上参数-D:
matthew@bsd# chroot /var/chroot /usr/libexec/ftpd -D
结果与上次一样,通过查阅chroot(8)的手册,我们可以看到chroot的语法是:chroot newroot [command]
也就是说command后面不能带参数,即然这样我们就写一个简单的shell脚本来运行ftpd,这个脚本命名为ftpd.sh,存放于/var/chroot/usr/libexec中,内容为:
#!/bin/sh
/usr/libexec/ftpd -D -4
由于我们不需要支持IPv6,所以这里加上了参数-4只对IPv4提供支持,当然你也可以加上一些其它参数。
接下来为脚本加上执行权限: matthew@bsd# chmod a+x /var/chroot/usr/libexec/ftpd.sh
为了要运行这个脚本程序,我们还需要将/bin/sh复制到我们的chroot环境中:
matthew@bsd# mkdir /var/chroot/bin
matthew@bsd# install -C /bin/sh /var/chroot/bin
接下来我们就要为chroot环境准备/etc目录了。首先要复制的就是/etc/services文件,因为它定义了ftpd使用的端口号和协议:
matthew@bsd# mkdir /var/chroot/etc
matthew@bsd# cp /etc/services /var/chroot/etc
因为需要验证用户,所以需要复制master.passwd和group:
matthew@bsd# cp /etc/group /var/chroot/etc
matthew@bsd# cp /etc/master.passwd /var/chroot/etc
编辑/var/chroot/etc/master.passwd和/var/chroot/etc/group,删除不需要使用ftp的用户和不必要的组,注意,当更改了master.passwd后一定要使用pwd_mkdb来生成密码数据库,由于此时我们需要将密码数据库文件存放在/var/chroot/etc中,而不是默认/etc中,所以在pwd_mkdb后面加上-d参数来指定数据库存放位置:
matthew@bsd# pwd_mkdb -d /var/chroot/etc /var/chroot/etc/master.passwd
此时如果执行成功的话你将看到在/var/chroot/etc/目录中多了两个文件:pwd.db、spwd.db。
让我们再次进入我们的chroot环境:
matthew@bsd# chroot /var/chroot /usr/libexec/ftpd.sh
现在我们便可以登录到我们的这个chroot的ftp服务器了。
3、结尾工作
为每一个用户建立home目录,注意是在建在/var/chroot/home之中。
在/var/chroot/etc/中生成ftpusers文件,将禁止登录ftp的用户的用户名加入其中,以禁止部分用户登录。
在/var/chroot/etc/中生成ftpchroot文件,它的作用是限制用户只能访问自己的home目录中的文件,而不能访问home外的任何内容。将你要限制的用户的用户名加入其中。
在/var/chroot/etc/中生成ftpwelcome文件,它的作用是当用户连接上我们的服务器的时候显示欢迎信息。
在/var/chroot/etc/中生成ftpmotd文件,它的作用是当用户登录进服务器的时候显示欢迎信息。
猜你喜欢
- 休闲游戏开发商PopCap今天宣布,去年风靡全球的小游戏《植物大战僵尸》(Plants vs. Zombies)在移植到iPhone平台后,
- 4.9 这儿有一个小的perl脚本程序,它将大多数的注释从已生成的配置文件中删除,形成一个简化的文件。4.10 将htdocs目录树的所有权
- 服务器托管是指为了提高网站的访问速度,将您的服务器及相关设备托管到具有完善机房设施、高品质网络环境、丰富带宽资源和运营经验以及可对用户的网络
- 1、 * 来上网:古时有卖身葬父,今有 * 上网;一个孝感天地,一个e网情深。 2、非洲的小白脸:让我们非常想看看非洲的小白脸的脸是怎么个白法!
- 目前很多杀毒软件都带有反广告的功能,可以屏蔽页面上出现的 Flash 广告。就拿卡巴斯基为例,它使用路径规则来过滤 Flash 内容。具体设
- 一提到网上搜索信息,大家马上就会想到百度(Baidu)、谷歌(Google)或者是雅虎(Yahoo)等知名搜索网站。然而最近,一款综合了百度
- 北京时间7月18日消息:去年8月,搜狐IT曾经报道微软正在研发和AdSense竞争的上下文广告系统。一年之后,系统接近杀青,微软最近开始小范
- Matt Mullenweg 是 Wordpress 的创始人与主要开发者之一,现居旧金山,致力于 Wordpress 以及其它一
- 网站空间是我们做站必不可少的一部分,在这次网络整改的风暴中,倒下了一批IDC服务商,很多站长因为受不了国内的政策,更受不了运营商“一刀切”的
- “冲击波”等蠕虫病毒特征之一就是利用有漏洞的操作系统进行端口攻击,因此防范此类病毒的简单方法就是屏蔽不必要的端口,防火墙软件都有此功能,其实
- 没有谁是天生的天才,这句话适用于任何人。同样,网站设计也是如此,开始对这门艺术有感觉的时候,一定是看到了别人的作品后才惊醒了你那根本来沉睡的
- 无论是对普通网络冲浪者还是网站管理员来说,Google都是目前世界范围内最受欢迎的搜索引擎。它每天处理的搜索请求高达1.5亿次,几乎占全球所
- 设置IP安全策略将木马阻杀在端口外“木马”一个让用户头疼的字眼,它们悄然无声的进入我们的系统,叫人防不胜防。当木马悄悄打开某扇“方便之门”(
- 相信大家都知道用 WordPress 搭建的博客,如果作者的主题没有考虑到网站优化方面的情况,那么使用这样的主题之后会非常的不利于搜索引擎的
- 10月16日消息,据消息人士透露,网页游戏运营商51wan近日调开通新域名kaixin(http://kaixin.51wan.com/),
- 对于研究SEO(搜索引擎优化)的朋友来说,都喜欢研究收集整理一些SEO工具。有些SEO工具是查询性质的,也有一些黑帽性质的,秦爱在这里给出的
- 1元转眼变5000元,你相信吗?“其实这并不是魔术,仅仅只是‘煮玉米’。&
- 查看记录文件是很乏味的。记录文件令人厌恶,包含了太多的信息,经常使人非常头疼。幸运的是,这些枯燥的工作有代劳者,利用一些日志分析工具,不仅可
- 前段时间,一位使用帝国CMS的朋友问我,帝国的碎片是什么意思,是做什么用的?我是这样回答的:现在很多门户网站的首页的信息大部分不是自动读取的
- 北京时间11月18日消息:据国外媒体报道,美国一个大学教授在研究报告中指出,在社交网站和网络即时通信的冲击下,电子邮件将在未来十年内消失,而