Go to:
Gentoo Home
Documentation
Forums
Lists
Bugs
Planet
Store
Wiki
Get Gentoo!
Gentoo's Bugzilla – Attachment 103199 Details for
Bug 156903
[id] handbook (sec) translations
Home
|
New
–
[Ex]
|
Browse
|
Search
|
Privacy Policy
|
[?]
|
Reports
|
Requests
|
Help
|
New Account
|
Log In
[x]
|
Forgot Password
Login:
[x]
shb-chroot.xml
shb-chroot.xml (text/plain), 4.37 KB, created by
Dzikri Aziz
on 2006-12-02 05:40:33 UTC
(
hide
)
Description:
shb-chroot.xml
Filename:
MIME Type:
Creator:
Dzikri Aziz
Created:
2006-12-02 05:40:33 UTC
Size:
4.37 KB
patch
obsolete
><?xml version='1.0' encoding='UTF-8'?> ><!DOCTYPE sections SYSTEM "/dtd/book.dtd"> > ><!-- The content of this document is licensed under the CC-BY-SA license --> ><!-- See http://creativecommons.org/licenses/by-sa/1.0 --> > ><sections> > ><version>1.1</version> ><date>2005-12-15</date> > ><section> ><title>Chroot</title> ><body> > ><p> >Men-chroot-kan sebuah servis merupakan salah satu cara untuk membatasi >lingkungan servis (atau user) agar hanya memiliki akses yang diperlukan dan >tidak memiliki akses (atau informasi) yang berujung ke akses root. Dengan >menjalankan servis sebagai user lain (<c>nobody</c>, <c>apache</c>, ><c>named</c>) bukan sebagai <c>root</c>, penyusup hanya dapat mengakses file >yang memiliki perizinan user tersebut. Artinya, penyusup tidak mendapatkan >akses <c>root</c> walaupun servis tersebut memiliki lubang keamanan. ></p> > ><p> >Beberapa servis seperti <c>pure-ftpd</c> dan <c>bind</c> memiliki fitur untuk >chroot, sedangkan servis-servis yang lainnya tidak. Jika servis mendukung fitur >ini, gunakan, jika tidak, anda harus mencari cara untuk membuatnya sendiri. >mari kita lihat bagaimana cara membuat chroot, untuk pemahaman mendasar tentang >kerja chroot, kita akan mencobanya dengan <c>bash</c> (cara belajar mudah). ></p> > ><p> >Ciptakan direktori <path>/chroot</path> dengan <c>mkdir /chroot</c>. Kemudian >cari pustaka dinamis yang digunakan ketika bash dikompilasi (jika <c>bash</c> >dikompilasi dengan <c>-static</c>, langkah ini tidak diperlukan): ></p> > ><p> >Perintah berikut ini akan memberikan daftar pustaka yang digunakan <c>bash</c>. ></p> > ><pre caption="Mendapatkan daftar pustaka yang digunakan bash"> ># <i>ldd /bin/bash</i> > libncurses.so.5 => /lib/libncurses.so.5 (0x4001b000) > libdl.so.2 => /lib/libdl.so.2 (0x40060000) > libc.so.6 => /lib/libc.so.6 (0x40063000) > /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000) ></pre> > ><p> >Sekarang mari kita ciptakan lingkungan untuk <c>bash</c>. ></p> > ><pre caption="Menciptakan lingkungan chroot untuk bash"> ># <i>mkdir /chroot/bash</i> ># <i>mkdir /chroot/bash/bin</i> ># <i>mkdir /chroot/bash/lib</i> ></pre> > ><p> >Sekarang salin file yang digunakan oleh <c>bash</c> (<path>/lib</path>) ke ><path>lib</path> di dalam lingkungan chroot lalu salin perintah bash ke >direktori <path>bin</path> di dalam chroot. Ini akan menciptakan lingkungan >yang sama persis, hanya saja dengan fungsionalitas yang lebih sedikit. Setelah >menyalinnya, cobalah: <c>chroot /chroot/bash /bin/bash</c>. Jika anda >mendapatkan prompt berisi <path>/</path> berarti anda berhasil! Jika tidak, >anda akan diberitahukan file mana yang tidak ditemukan. Beberapa pustaka >sering saling bergantung satu sama lain. ></p> > ><p> >Anda akan melihat bahwa tidak ada yang dapat dijalankan di dalam chroot selain ><c>echo</c>. Ini karena kita tidak memiliki perintah lain di lingkungan chroot >selain bash dan <c>echo</c> yang merupakan fungsionalitas built-in. ></p> > ><p> >Pada dasarnya, beginilah cara anda untuk menciptakan servis ter-chroot. >satu-satunya perbedaan adalah beberapa servis terkadang bergantung file device >dan konfigurasi di <path>/etc</path>. Salin saja file-file ini (file device >dapat anda salin dengan <c>cp -a</c>) ke lingkungan chroot, edit skrip init >agar menggunakan chroot sebelum mengeksekusi. Terkadang susah untuk menemukan >file device dan konfigurasi mana yang diperlukan. Di sinilah perintah ><c>strace</c> berguna. Jalankan servis dengan <c>/usr/bin/strace</c> dan carilah >open, read, stat dan mungkin connect. Ini akan memberikan anda petunjuk tentang >file apa yang perlu anda salin. Tetapi pada kebanyakan kasus, salin saja file >passwd (edit file salinan lalu hapus user yang tidak ada hubungannya dengan >servis), <path>/dev/zero</path>, <path>/dev/log</path> >dan <path>/dev/random</path>. ></p> > ></body> ></section> ><section> ><title>User Mode Linux</title> ><body> > ><p> >Cara lain untuk menciptakan lingkungan yang lebih aman ialah dengan menjalankan >mesin virtual. Mesin virtual, seperti tersurat dari namanya, merupakan sebuah >proses yang berjalan di atas sistem operasi anda yang menyediakan lingkungan >hardware dan sistem operasi seakan-akan sebuah mesin (komputer) yang berbeda. >Keuntungan dari sisi keamanan ialah jika server berjalan di atas mesin virtual, >hanya server virtual yang akan terpengaruh, bukan instalasi utama. ></p> > ><p> >Untuk informasi lebih mendalam tentang cara men-setup User Mode Linux, silakan >membaca <uri link="/doc/en/uml.xml">User Mode Linux Guide</uri>. ></p> > ></body> ></section> > ></sections>
<b>You cannot view the attachment while viewing its details because your browser does not support IFRAMEs. <a href="attachment.cgi?id=103199">View the attachment on a separate page</a>.</b>
View Attachment As Raw
Actions:
View
Attachments on
bug 156903
:
103196
|
103197
| 103199 |
103200
|
103201
|
103202
|
103203
|
103204
|
103263
|
103264
|
103392
|
103916
