继续进行,执行脚本。
|
你懂了吗?是的,它一直作为根在运行。补丁,同样,某些文件在它开始运行的时候被/etc/rc.d/init.d/sendmail 文件改建。我的脚本不处理这个问题。任何你在/etc/mail下对sendmail做的改动,都请你将改动拷贝到/chroot/sendmail/etc。同样,你必须指定/var/spool/mail 到/chroot/sendmail/var/spool/mail 这样sendmail程序和使用者(当他们进入后)才能看到相同的文件。
好处是,你可以发送邮件,但是收到邮件是一个问题。我可以和apache安装sendmail没有任何问题。我将一些perl脚本发送出去,所以,我需要拷贝sendmail 文件到apache的chroot领域中。
其他chroot的事物
下面是我的理念。
1.任何事物都可以被chrooted,包括sendmail,ssh,apache,postgresql,syslog,以及在计算机中运行的所有服务。
2.所有的事物都可以放在一个非root帐号下(你需要的做的是将被保护的端口连接到无保护端口)。这包括sendmail和syslog。
3.日志备份可以是offsite。
4.每一个服务都可以设置一个区间分配,这样当黑客用完磁盘空间改写文件的时候会有一个磁盘空间限制。
5.Root可以拥有所有没有改动的文件。
现在,关于endmail和syslog,我仍然认为他们应当可以在非root帐号下运行。对于sendmail。这是完全可能的,但是我发,现还是相当困难。在非root帐号下我还没有成功的运行过sendmail,我想一定有一个严重的错误.我直到这样做会有问题,但是我想它们一定都可以解决.文件已经得到许可,我不明白 为什么sendmail需要在root下才能运行.可能是我忽略了一些问题,我怀疑是有一些不能逾越的障碍.
至于syslog,我没有试过,但是我相信在非root帐号下,它一定可以运行,我不相信它不能运行.至少我可以将每项服务的syslog都进行chrooted.
所有的服务都可以在非root帐号下设置.即使是NFS,还有所有的服务.
建议:
1.对ssh进行两次登记,而且运行两个sshd.
2.找出如何在非root下运行sendmail和其他邮件程序的办法。
3.除掉/lib里的不必要的库文件.我为了省力拷贝了里面的所有东西.其实,里面的很多东西都是不需要的.
4.远程登录sysloge,还有弄清楚我们能不能把syslogd连接到一个网络端口,以及所有的services是不是都可以连接到在循环装置上的网络的端口.看看是否能在非root帐号下运行syslogd.
结论:
我认为chroot对所有的service都是有效的.我相信如果不将所有的服务都chroot到非root帐号下都将是一个大错误.我希望无论是一个专业版本还事一个小一些的版本:任何版本.Mandrake一开始从RedHat中获得源材料,然后将它扩充,所以,人们完全可能使用Mandrake并扩大chroot再断开它们.没有什么能阻止人们在GNU/Linux重复别人的工作,所以我认为,这样做完全可行.如果有公司愿意将任何事情都进行chroot,并创造一个宽松的系统化的环境以方便人们管理它们的chrooted的服务,我相信它们一定会有异想不到的销售成绩!记住,即使Linux已经成为了主流,但是人们还是不愿意看见命令行,所以,如果所有的事都可以在图形交互界面下完成,他们就没有必要看见所有东西”内脏”,也没有必要知道事情是怎样一步一步的进行的——他们所要做的仅仅上配置和知道它正在工作!
我100%的支持一个观点:所有的服务都可以chroot在非root帐号下,而且还没有任何版本可以提供给我一个可以真正使用的环境。我打算chroot所有的事情——事实上,我确实这样做了。
我计划写一篇关于如何chroot的文章,我请问你们有谁可以帮我,将这篇文章转换为LyX格式,这样它就可以放在Linux的HOWTOs里边了。
参考:
如果这篇文章有所改动,你可以在这里找到它: http://www.gnujobs.com/Articles/23/chroot.html
本文有关配置文件下载地址: http://www.linuxfocus.org/common/src/article225/
