Criando chroot
Conformidade com a norma.
No que diz respeito ao isolamento de
sistemas sensíveis, a norma ABNT NBR ISO/IEC
27002:2005 diz no item 11.6.2, que
sistemas sensíveis devem ter um ambiente
computacional dedicado (isolado).
Objetivos:
Entender o que é um sistema enjaulado.
Criar um chroot.
De forma simples o chroot é um ambiente isolado (enjaulado) dentro da sua máquina real, é um sistema dentro de outro que compartilham processos. Um exemplo de uso é o Apache, sempre é bom colocar o apache trabalhando em chroot.
Mãos a obra:
Vamos criar o diretório destino:
# mkdir -p /var/centoschroot/var/lib/rpm
Agora vamos iniciar a base de dados do yum:
# rpm --root /var/centoschroot --initdb
Instale primeiro o pacote yum-utils para ter o comando yumdownloader disponível
yum install yum-utils
O próximo passo é obter o pacote rpm base do sistema. Se você tiver instalado o programa yumdownloader você pode utilizá-lo para obter este pacote:
yumdownloader --destdir=/tmp centos-release
Ou pode obte-lo fazendo download:
wget http://mirror.centos.org/centos/6.4/os/i386/Packages/centos-release-6-4.el6.centos.10.i686.rpm
Eu adicionei os links para o pacote mais recente de cada distribuição, se você precisar de outra versão, a organização dos diretórios é bem intuitiva e podem ser obtidos seguindo o mesmo caminho.
rpm -i --root=/var/centoschroot --nodeps /tmp/centos-release-6-4.el6.centos.10.i686.rpm
Para instalar novos pacotes através do yum podemos utilizar o comando passando o parâmetro installroot, como o exemplo:
yum --installroot=/var/centoschroot install -y bash rpm-build yum
Monte o diretório virtual do kernel do sistema original dentro do sistema chroot,
e o diretório de dispositivos:
# mount --bind /proc/ /var/centoschroot/proc
Para executarmos o jail basta executarmos o comando.
# chroot /var/centoschroot
dentro do chroot execute o seguinte comando para a resolução do dns
touch /etc/resolv.conf
echo "nameserver 4.2.2.1" > /etc/resolv.conf
Ederson Reis
Gestor de TI, Analista de suporte e Segurança
E-mail - ecbr2003@gmail.com
skype - ecbr@hyperlinux.com.br
Linkedin - http://br.linkedin.com/pub/ederson-reis/30/581/679/
Esse conteúdo está disponibilizado sobre a licença de uso - Tiu enhavo estas disponebla sur uza permesilo LiPE