维普资讯 http://www.cqvip.com 构建 Setting for a Safe Remote Lo99ing Mainframe Computer in the Linux 程海琴 Chen Haiqin (华东交通大学土木建筑学院,南昌 3300 1 3) (East China Jiaotong University,Nanchang 3300 13) 摘要:为教学和推广Linux,设置一个安全的远程登录主机可以达到目的。利用Linux系统中的debootsrap 工具可以建立一个Linux中的linux,但是ssh必须打补丁后重新编译。 关键词:Linux:远程登录:安全:ssh 中图分类号:TP309 文献标识码:A 文章编号:1671—4792一(2007)5一Ol 12—02 Abstract:In order to teach and popularize Linux,it is essential to set for a safe remote logging mainframe computer.Establish a linux in the linux by using the debootstrap means in Linux system,but the mended ssh must be compiled once more. Kevwords:Linux;Remote Lodding;Safe;Ssh 0引言 local≠}cd/ local≠}debootstrap sid/opt http://ftp. debian.org/debian/ …为了教学和推广Linux,最好的办法是让人去使 用它,对于Linux系统的构建还是有一定的门槛,构 建一个可以自由登录体验Linux的远程主机成为一 个比较好的选择。但是,这里产生了一个巨大的矛 盾:系统安全和对体验者功能的放开。 本文介绍的是把体验者局限于一个可控的和原 Linux 隔离的环境里面可以安全构建Linux远程体验 下载整个系统 local echo”proc—sid/opt/proc proc none 0 0“>>/etc/fstab local≠}mount proc-sid/opt/proc—t proc local cp/etc/hosts/opt/etc/hosts local≠}chroot/opt/bi n/bash chroot≠}cd/dev:/sbin/MAKEDEV generic ; cd —chroot≠≠apt—setup 主机。 1 chroot创建Linux中的linux 在Linux中使用debootstrap命令很容易构造 Chroot Linux体系。对于较新的后续发行版,用 C deb00t St raP命令加上适当的选项可以代替 debOOtstrap。 ≠}创建/etc/apt/sources.1ist chroot≠≠ vi /etc/apt/sources.1j st ≠≠修改源为unstable chroot≠}dselect 在一台1inux系统中的/oPt下创建一个 chroot体系,代码如下: local≠} mkdir/opt ≠}也可以使用aptitude,安装所需的包 现在就创建了一个全功能debian/GNU子系统, 维普资讯 http://www.cqvip.com
可以提供给初学者体验而不必担心主系统受到不利 影响。 该debootStrap应用技巧还可以实现在没有 Debian安装盘的情况下,从另一个GNU/Linux发行版下安装Debian,参阅http://www.debian.org/ releases/stab1e/i386/apcs04。 . 2设置chroot下的ssh登录 对于体验者,提供远程的服务比把他们请到 Li nux系统主机前更容易。但是为SSH创建一个限 制环境是一项比较有挑战的工作,SSH为用户提供 一个远程she11,程序的依赖关系和提供其它服务不同,必须考虑在此环境中那些程序用户可以使 用。根据上面进行的工作,创建一个可以被chroot 的ssh服务,用下边的命令:牟chroot/opt/sbin/sshd~f/etc/ sshd—config 2.1体验者使用环境的自动构建 makejai 1软件包比较好地创建一个环境, 因为它自动跟踪处理服务器守护进程(使用 strace),并使它运行在一个受的环境中。 自动构建chroot环境程序的优势在于它能为 chroot环境复制任何软件包(甚至下边的依赖包, 并能保证其完整性)。因此,体验者使用起来和真实 的系统没有区别。 使用makejai1提供的例子配置环境,运行下 边的命令: #makejai i/usr/share/doc/makeJai1/ex一 amples/sshd.PY 对照示例文件,查看原Linux系统对shel1环 境做了哪些修改。其中一些修改,譬如用户主目录 的复制,不能自动完成。还有,显示的敏感信 息只能由一些指定用户从/etc/shadow或/etc/ group复制。 亡= 2.2修补SSH启用chroot功能 Linux官方的sshd不允许通过服务器用 匹 ×- 户的活动,因为sshd2中的商用程序缺乏chroot 程 体 功能。但是,可以利用一个补丁来增加此项功能。这 验 主 个补丁需要重新编译sshd。下列网站http:llmai1. 饥 incredimail.com/howto/openssh/对所有步骤有详 的 安 细描述。 全 }勾 打了补丁重新编译Sshd以后,编辑/et c/ 建 passwd修改用户主目录为/./,testuser的权限 行如下旬: testuser:X:1 059:1 059:test User:/home/ testuser/./:/bin/bash 这将通过ssh隧道的远程shel l访问, 和通过Ssh隧道进行的远程拷贝。最后确保用户 的chroot目录下包含了所有需要的程序和库文件, 这些文件的拥有者应当是root以避免被用户篡改。 3结束语 使debootstrap命令很容易构造chroot linUX 体系。但是为SSH创建一个环境是一项比较 有挑战的工作,经过打补丁重新编译并且做相应的 设置,可以构建安全登录的LinUX中的1inux。 参考文献 [1]0’Reilly公司编译.Linux网络管理员指 南[M].南京:东南大学出版社. [2]李善平,施伟译.Linux教程[M].北京:清华 大学出版社. 1 1 Q
