2014最佳实践.docVIP

暴露在互联网上的系统要将坏人隔离在外是一个很大的挑战，而且一直更新最新的安全补丁也不太容易。因此，一些聪明的管理员们尝试采用系统的方法来限制可能发生的入侵，这其中一个绝佳的方法就是使用chroot监狱（jail）。chroot监狱极大地限制了应用程序可查看的文件系统范围，拥有更少的系统权限，这些都是为了限制应用程序误操作或者被坏人利用从而对系统造成损害。本文简述一下chroot是如何工作的，并着重讨论一下开发者和管理员能够用到的一些最佳实践来让系统更加安全。 chroot背景 chroot系统调用将当前进程及其子进程的root目录修改到一个特定的路径，通常是在文件系统真正的root目录下的一些受限的子目录中。进程认为新的路径就是系统的“/”，因此我们将这个受限制的环境称为“监狱”。除非一些特殊手段，要从监狱里面逃出来是根本不可能的。 chroot系统调用存在于所有已知的UNIX版本中，它能够为运行的进程创建一个临时根目录，这种方法将一个受限制的文件系统（比如，/chroot/named)作为进程可见的最上层目录。 如何从监狱中逃脱 有一些非常有名的越狱手段，最常用的是在监狱中获取root权限。这种方法用于将程序chroot到了一个子目录，但是却将当前目录留在监狱外面。我们会为各种逃脱手段添加更多地注释--也就意味着会更多地介绍什么是必须被保护的，而不是教你如何越狱--但是