接下来需要考虑单机上的解决方案。目前笔者只想到两种方案:
命令ACL,通过命令白名单的方式实现 restricted bash chroot,针对每个用户创建一个系统用户,监禁用户访问范围
首先,命令白名单的方式是最应该排除的,首先无法保证不同release的linux的bash是相同的;其次无法有效穷举所有的命令;最后由于伪终端提供的tab命令补全功能以及特殊字符如delete的存在,无法有效匹配当前输入的命令。因此白名单方式漏洞太多,放弃。
restricted bash,通过/bin/bash -r触发,可以限制使用者显式“cd directory”,但有这诸多缺点:
不足以允许执行完全不受信任的软件。当一个被发现是shell脚本的命令被执行时,rbash会关闭在shell中生成的任何限制来执行脚本。当用户从rbash运行bash或dash,那么他们获得了无限制的shell。有很多方法来打破受限制的bash shell,这是不容易预测的。
最后,貌似只有一个解决方案了,即chroot。chroot修改了用户的根目录,在制定的根目录下运行指令。在指定根目录下无法跳出该目录,因此无法访问原系统的所有目录;同时chroot会创建一个与原系统隔离的系统目录结构,因此原系统的各种命令无法在“新系统”中使用,因为它是全新的、空的;最后,多个用户使用时他们是隔离的、透明的,完全满足我们的需求。
因此,我们最终选择chroot作为web终端的安全性解决方案。但是,使用chroot需要做非常多的额外处理,不仅包括新用户的创建,还包括命令的初始化。上文也提到“新系统”是空的,所有可执行二进制文件都没有,如“ls,pmd”等,因此初始化“新系统”是必须的。可是许多二进制文件不仅仅静态链接了许多库,还在运行时依赖动态链接库(dll),为此还需要找到每个命令依赖的诸多dll,异常繁琐。为了帮助使用者从这种无趣的过程中解脱出来,jailkit应运而生。
jailkit,真好用
jailkit,顾名思义用来监禁用户。jailkit内部使用chroot实现创建用户根目录,同时提供了一系列指令来初始化、拷贝二进制文件及其所有的dll,而这些功能都可以通过配置文件进行操作。因此,在实际开发中采用jailkit搭配初始化shell脚本来实现文件系统隔离。
此处的初始化shell指的是预处理脚本,由于chroot需要针对每个用户设置根目录,因此在shell中为每个开通命令行权限的使用者创建对应的user,并通过jailkit配置文件拷贝基本的二进制文件及其dll,如基本的shell指令、git、vim、ruby等;最后再针对某些命令做额外的处理,以及权限重置。
在处理“新系统”与原系统的文件映射过程中,还是需要一些技巧。笔者曾经将chroot设定的用户根目录之外的其他目录通过软链接的形式建立映射,可是在jail监狱中访问软链接时仍会报错,找不到该文件,这还是由于chroot的特性导致的,没有权限访问根目录之外的文件系统;如果通过硬链接建立映射,则针对chroot设定的用户根目录中的硬链接文件做修改是可以的,但是涉及到删除、创建等操作是无法正确映射到原系统的目录的,而且硬链接无法连接目录,因此硬链接不满足需求;最后通过mount --bind实现,如 mount --bind /home/ttt/abc /usr/local/abc它通过屏蔽被挂载的目录(/usr/local/abc)的目录信息(block),并在内存中维护被挂载目录与挂载目录的映射关系,对/usr/local/abc的访问都会通过传内存的映射表查询/home/ttt/abc的block,然后进行操作,实现目录的映射。