tomcat 的 chroot 配置

最近配置tomcat,看到网上的一些教程,觉得有些缺陷,故摘抄至此(红色为修改部分)。至于新版本tomcat和java的配置,略有不同,特别是库文件的位置,但大同小异,也就leave them here了…

chroot命令格式

chroot <new root path> <command> <command args>

 

(1)建立chroot目录

mkdir /usr/local/chroot
cd /usr/local/chroot

以下所有的路径是相对于/usr/local/chroot

 

(2)建立相关文件夹,并赋于权限

mkdir -p lib etc tmp dev usr
chmod 755 etc dev usr
chmod 1777 tmp

 

(3)复制jdk到相应目录

mkdir usr/jdk
cp -R /usr/local/jdk1.6.0_10/ usr/jdk/

 

(4)以下添加jvm需要的lib

# jvm need lib
ldd /usr/local/jdk1.6.0_10/bin/java
cp /lib/tls/libpthread.so.0 lib/tls
cp /lib/libdl.so.2 lib
cp /lib/tls/libc.so.6 lib/tls
cp /lib/ld-linux.so.2 lib
cp /lib/libm.so.6 lib
cp /lib/libnsl.so.1 lib

 

(5)添加dev

/dev/MAKEDEV -d /usr/local/chroot/dev null random urandom zero loop* log console
cp /dev/MAKEDEV /usr/local/chroot/dev/
cp -R /dev/shm dev/

 

(6)mount proc filesystem

mkdir proc
mount -t proc proc /usr/local/chroot/proc/

 

(7)复制conf

cp -a /etc/hosts /etc/resolv.conf /etc/nsswitch.conf etc

 

(8)添加dns需要的lib

cp -p /lib/libresolv.so.2 lib/
cp -p /lib/libnss_dns.so.2 lib/
cp -p /lib/libnss_files.so.2 lib/

 

(9)添加bash shell需要的lib,并添加shell命令 (按照tomcat安全配置的书上说最好不要加入bash,防止提权以致jail失效,但无shell似乎tomcat的启动脚本无法执行)

# bash shell
mkdir bin
cp /bin/bash bin/
ln -s /bin/bash bin/sh
cp -p /lib/libtermcap.so.2 lib/
cp -p /lib/libdl.so.2 lib/
cp -p /lib/libc.so.6 lib/
cp -p /lib/ld-linux.so.2 lib/

# add command
cp /bin/uname /usr/local/chroot/bin/
cp /usr/bin/dirname /usr/local/chroot/bin/
cp /bin/touch /usr/local/chroot/bin/
cp /lib/tls/librt.so.1 /usr/local/chroot/lib/tls
cp /usr/bin/tty /usr/local/chroot/bin/

 

(10)在chroot中运行java命令看是否能正确运行

# run chroot
chroot /usr/local/chroot/ /usr/jdk/jdk1.6.0_10/bin/java -version
strace chroot /usr/local/chroot/ /usr/jdk/jdk1.6.0_10/bin/java -version

如果不能正确运行,看缺少什么库,添上它

 

(11)复制tomcat,配置环境,并启动tomcat
cp -R /usr/local/apache-tomcat-5.5.28/ .

# add JAVA_HOME CATALINA_HOME to catalina.sh
export JAVA_HOME=”/usr/jdk/jdk1.6.0_10/”
export CATALINA_HOME=”/usr/apache-tomcat-5.5.28″

 

(12)Edit passwd等
cp /etc/passwd /usr/local/chroot/etc/
cp /etc/group /usr/local/chroot/etc/
编辑passwd,只剩一个受限账户,即为tomcat运行的账户

 

(13) start tomcat
chroot –userspec=USERNAME:GROUP /usr/local/chroot/ /usr/apache-tomcat-5.5.28/bin/catalina.sh start
USERNAME为启动的用户名,GROUP为启动的GROUP

 

摘自Wiki:

特权分离 一个被允许打开文件实例(如文件、链接、网络连接)的软件被放入chroot中,这是对不必要留下在chroot目录工作文件的简单设计。同时也是一个简单的沙盘,也可以防御安全漏洞。注意!有root特权的程序,chroot是没有防御力的。

所以勿以root执行tomcat,否则chroot形同虚设。

Leave a Reply

Your email address will not be published. Required fields are marked *