Чтение онлайн

Если сервер не вызывает самостоятельно функцию

, его следует запускать посредством утилиты . При этом в каталоги поддерева необходимо скопировать исполняемые и конфигурационные файлы сервера, а также все файлы, необходимые серверу в процессе работы. Кроме того, иногда приходится помещать в каталоги поддерева некоторые системные файлы. Определить набор файлов, необходимых серверу, достаточно сложно. Для того чтобы выяснить, какие файлы требуются в процессе работы, надо прочитать документацию, а если нужные сведения там отсутствуют, вам придется проанализировать содержимое дистрибутивного пакета. Для получения информации о файлах, содержащихся в пакете, можно использовать инструменты , или . Очевидно, что копировать в каталоги поддерева надо не все файлы; например, для работы сервера не нужна документация. Чтобы выяснить, какие файлы необходимы серверу, можно использовать программу . Вызвав команду , вы получите сведения о файлах, используемых в процессе работы сервера, в том числе имена файлов, которые сервер открывает самостоятельно.

На заметку

Вместо копирования файлы можно переместить в каталоги поддерева

chroot

. При этом вы будете иметь гарантию того, что после запуска сервер будет выполняться в пределах поддерева.

После того как вы разместите в пределах поддерева

файлы сервера, вам следует скопировать в каталоги поддерева некоторые системные файлы. Для работы серверов часто требуются следующие типы файлов.

• Библиотеки. Во время работы многие серверы используют динамические библиотеки. Обычно они хранятся в каталоге

или . Выяснить, какие библиотеки нужны конкретному серверу, позволяет программа . Например, чтобы определить, какие библиотеки использует сервер имен, надо выполнить команду . Файлы библиотек надо поместить в каталог поддерева .

• Программы поддержки. Для работы некоторых серверов нужны дополнительные программы. Например, если Web-сервер поддерживает CGI-сценарии, ему могут понадобиться интерпретатор Perl (

) и файлы, обеспечивающие работу этого интерпретатора. Исполняемый файл Perl и дополнительные файлы надо скопировать в соответствующий каталог поддерева . Кроме того, программы, необходимые для работы сервера, могут, в свою очередь, использовать файлы библиотек. В некоторых случаях объем данных, применяемых для поддержки языков сценариев, намного превышает объем Web-сервера.

• Файлы устройств. Ряд серверов непосредственно обращается к файлам устройств. Например, сервер резервного копирования взаимодействует с накопителем на магнитных лентах, а некоторым библиотекам и программам нужны специальные файлы устройств, такие как

или . Обычно файлы устройств располагаются в каталоге . Копировать файлы из этого каталога бессмысленно, вместо этого надо повторно создать их в поддереве с помощью . Соответствующая команда может выглядеть следующим образом: . Файлы устройств предоставляют доступ к ресурсам компьютера, поэтому создавать их в поддереве следует только в том случае, когда они действительно необходимы.

• Специальные файловые системы. Иногда серверы используют специальные файловые системы или инструменты, предназначенные для работы с такими файловыми системами. Например, некоторые серверы обращаются к

. Подобные каталоги нельзя непосредственно копировать. Вместо этого надо создать дополнительную запись в файле и смонтировать файловую систему в пределах поддерева . Исходную систему нельзя удалять, ее надо дублировать. Необходимо помнить, что при наличии доступа сервера к взломщику автоматически предоставляются дополнительные возможности для контроля над системой.

• Базы данных с информацией о пользователях. Во время работы ряд серверов обращается к

, , и другим файлам, содержащим информацию о пользователях. Серверам, которые используют Pluggable Authentication Module, необходима инфраструктура РАМ, в частности, файл , содержимое и , а также библиотеки в файлах и (в именах файлов библиотек содержатся символы ). Для того чтобы выяснить, какие файлы необходимо скопировать в каталоги поддерева , надо проанализировать содержимое пакета РАМ.

• Файлы протоколов. Если сервер создает во время работы файлы протоколов, вам необходимо подготовить каталоги для их размещения. Некоторые серверы используют при создании файлов протоколов демон

, в этом случае вам надо скопировать данную программу в поддерево . Многие серверы можно сконфигурировать так, чтобы протоколирование выполнялось без использования .

Для серверов, самостоятельно вызывающих функцию

, обычно приходится копировать в каталоги поддерева гораздо меньше файлов, чем для серверов, запускаемых с помощью программы . Если сервер вызывает , то перед вызовом данной функции он обычно загружает библиотеки, системные файлы и остальные необходимы ему данные.

На заметку

Чтобы не создавать угрозу безопасности системы, помещайте в каталоги поддерева

chroot

лишь минимальный набор файлов. Копировать файл следует только в том случае, если вы твердо знаете, что этот файл используется в работе сервера. Что же касается остальных файлов, выяснить, необходимы ли они, можно, запустив сервер на выполнение (если в сервере предусмотрен режим отладки, желательно включить его). Если серверу недостает какого-либо файла, он сообщит об этом.

Создав поддерево

, можно приступать к его использованию. Для этого надо сконфигурировать сервер для работы в рамках поддерева, организовать запуск сервера и обеспечить контроль доступа к поддереву извне. Решение этих задач рассматривается в данном разделе. Здесь же будет приведен пример запуска сервера имен в пределах поддерева .

Если сервер осуществляет вызов функции

, вероятнее всего, что в его конфигурационном файле содержится одна или несколько опций, предназначенных для управления выполнением в рамках поддерева . Например, для ProFTPd предусмотрена директива , которая задает имя каталога, используемого в качестве корневого каталога поддерева . Чтобы обеспечить выполнение сервера с использованием поддерева , необходимо выяснить, какие опции управляют данным режимом работы, и правильно установить их значения.