Thursday, May 14, 2015

jailing - chroot jailを構築・運用するためのスクリプトを書いた

個人サーバで外部に公開するサービスを動かすときには、chrootを使うにこしたことはないわけです。サービス毎にchrootしてあれば、サーバソフトウェアにセキュリティホールがあっても、他の情報が漏洩したりする可能性をぐっとおさえることができるわけですから。

でも、そのためだけにVPSにdockerとかコンテナを入れて使うってのは、構築も運用もめんどくさいし、ディスク容量食うし、やりたくない。systemd-nspawnも割と重たい雰囲気だし、LTSなubuntuだとそもそもsystemd入ってないし…

俺たちがほしいのは、ホストの環境の一部のみにアクセスできる、手軽なjailだー! ってわけで、ざっくり書いたのが、jailing。

github.com/kazuho/jailing

/usr/bin等、OS由来のディレクトリをchroot環境にread-onlyでエクスポートしつつ、指定されたコマンドを、そのchroot環境で動かすスクリプトです。

/usr/localや/homeといったディレクトリはエクスポートしないので、chroot環境下のソフトウェアにセキュリティホールがあって侵入されたとしても、(カーネルにバグがなければ)chroot環境外の情報が漏洩することはありません。

ホストとchroot環境でディレクトリを共有するためには、--bindオプションを使います。

たとえば、/usr/local/apache下にインストールしたApacheをchroot環境下で動かしたいなって時、jailingを使えば、以下のようにコマンド一発でchroot環境を作成して実行できます。
% sudo jailing --root=/var/httpd-jail \
    --bind /usr/local/apache \
    -- \
    /usr/local/apache/bin/httpd \
    -c /usr/local/apache/conf/httpd.conf
あるいは、/usr/local/h2o下にインストールしたH2Oをchroot環境下で動かす場合は、こんな感じ。
% sudo jailing --root /var/h2o-jail \
    --bind /usr/local/h2o \
    -- \
    /usr/local/h2o/bin/h2o \
    -m daemon \
    -c /usr/local/h2o/etc/h2o.conf
あるいは、jail内に入るには、
% sudo jailing --root /var/h2o-jail \
    -- \
    bash
とかやればいいわけです。

簡単ですね!

詳しくはman jailingしたりしてください。それでは〜
投稿者 時刻:
ラベル: , , ,
はてなブックマーク - jailing - chroot jailを構築・運用するためのスクリプトを書いた

10 comments:

  1. UnknownMarch 1, 2016 at 3:55 PM

    This is great do you have a catologue if so I would love one to share with friends and family.
    Royal Challengers Bangalore Team Squad Captain Name
    KXIP New Players List
    DD 2016 Logo Jersey Images Photos

    ReplyDelete
  2. RekhaMarch 14, 2016 at 7:07 AM

    Rocky Handsome Review
    Rocky Handsome Box Office Collection
    Rocky Handsome opening day collection
    Rocky Handsome Movie Review
    Rocky Handsome first day collection
    Watch Rocky Handsome 1st day collection
    Rocky Handsome Audience Response

    Sarrainodu Review
    Sarrainodu Box Office Collection
    Sarrainodu Audio Launch Date
    Sarrainodu Collections
    Sarainodu Review
    Sarrainodu Theaters List
    Sarrainodu movie Review



    Sarrainodu first day collection
    Sarrainodu 1st day Box Office Collection
    Sarrainodu Songs Release Date
    Sarrainodu Audio Release Date
    Watch Sarrainodu Audio Launch Live

    Sarrainodu Review
    Watch Sarainodu Audo Launch Live

    Sarainodu Review
    Sarainodu first day Collection

    ReplyDelete
  3. Joy AndyMarch 14, 2016 at 7:12 PM

    Nice content. Happy to be here. Thank you for sharing.
    India vs New Zealand Live Score 2016
    India vs Pakistan Live Score 2016
    Easter Eggs 2016
    Holi Wishes 2016

    ReplyDelete
  4. Regina HilaryApril 26, 2017 at 4:37 PM

    This comment has been removed by the author.

    ReplyDelete
  5. Ann LilyJune 5, 2017 at 1:38 PM

    Great post. I was checking continuously this blog and I am impressed!
    Very useful info specifically the last part :) I care for such info much.
    I was looking for this certain information for a very long time.
    Thank you and best of luck gmail sign up | hotmail login | hotmail email login | hotmail account login

    ReplyDelete
  6. eman shOctober 6, 2017 at 7:45 AM

    نقل العفش بالرياض
    نقل عفش بالدمام
    شركات نقل اثاث بالدمام
    شركة نقل اثاث بالخبر
    شركة نقل عفش بجدة

    ReplyDelete
  7. eman shOctober 6, 2017 at 7:47 AM

    شركة نقل عفش بخميس مشيط
    شركة نقل عفش بجازان
    شركة نقل عفش بنجران

    ReplyDelete
  8. eman shOctober 6, 2017 at 7:48 AM

    http://khairyayman.eklablog.com/http-emc-mee-com-transfer-furniture-almadina-almonawara-html-a126376958 شركة نقل عفش بالمدينة المنورة
    http://khairyayman.eklablog.com/http-emc-mee-com-transfer-furniture-jeddah-html-a126377054 شركة نقل عفش بجدة
    http://khairyayman.eklablog.com/http-emc-mee-com-movers-in-riyadh-company-html-a126376966 شركة نقل عفش بالرياض
    http://khairyayman.eklablog.com/http-www-east-eldmam-com-a126377148 شركة نقل عفش بالدمام
    https://forums.ipa.edu.sa/vb4/member.php?202-%D9%85%D8%AD%D9%85%D8%AF-%D8%AE%D9%8A%D8%B1%D9%8A

    ReplyDelete
  9. Erwin CooperMay 24, 2018 at 6:22 PM

    Voice over is a professional job that requires a lot of things, which include a good voice over microphone, voice training, and a proper recording studio. If you pick up a wrong microphone, sooner or later, your bookings will dry up because your voice produced isn’t up to the mark. If you need high-quality audio, you need to invest in high-quality equipment. A lot of people fear away from making a voice over setup at home because they think a good microphone will be expensive. That’s not necessarily true. You can purchase a decent microphone without disturbing your budget.
    voice over microphones
    One of the things that you need to look while selecting microphones is how your voice is and how you’d use the microphone. Specific microphones will work better for your voice as compared to others. Also, put into consideration the acoustics in your studio. Despite being a soundproof closet, do you still have some amount of background noise? It’s wise to go with a microphone that cancels the background noise efficiently.

    ReplyDelete
  10. Webroot.com/safeDecember 21, 2018 at 3:31 PM

    Webroot.com/safe is a protection software solution that communicates with the cloud avoiding the hassle to manage the signature updates to deploy. for office setup visit office.com/setup

    ReplyDelete

Note: Only a member of this blog may post a comment.

Subscribe to: Post Comments (Atom)