Vojenské zpravodajství (VZ) se v březnu zapojilo do mezinárodní operace proti aktivitám hackerské skupiny APT28, která je spojovaná s ruskou vojenskou zpravodajskou službou GRU a která přes slabě zabezpečené routery prováděla kybernetické útoky na státní a další organizace v ČR i zahraničí. Operaci vedl americký Federální úřad pro vyšetřování (FBI) a jejím cílem bylo odebrat útočníkům přístup k napadeným zařízením a ty následně … více »
Tvůrcem nejpopulárnější kryptoměny bitcoin, který se skrývá za pseudonymem Satoši Nakamoto (Satoshi Nakamoto), je britský kryptograf Adam Back. Na základě vlastní investigativní práce to tvrdí americký deník The New York Times (NYT). Několik indicií podle autorů jasně ukazuje na to, že Back a Nakamoto jsou stejný člověk. Jde mimo jiné o podobný odborný a osobnostní profil či totožné chyby a manýry v psaném projevu.
Google Chrome 147 byl prohlášen za stabilní. Nejnovější stabilní verze 147.0.7727.55 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Vylepšeny byly také nástroje pro vývojáře. Přehled novinek v Chrome DevTools 145 až 147 také na YouTube.
Vývojáři z Laboratoří CZ.NIC vydali nové verze aplikací Datovka (Datovka 4.29.0, Mobilní Datovka 2.6.2). V případě desktopové verze přibyly možnosti projít všechny uložené zprávy, zkontrolovat časy expirací časových razítek a přerazítkovat datové zprávy, které lze v ISDS přerazítkovat. Novinkou je také možnost vytahovat myší ze seznamu ZFO soubory datových zpráv, tento úkon jde udělat i pomocí tlačítek Ctrl+C. Nová verze Mobilní Datovky přináší jen drobné úpravy.
MicroPython (Wikipedie), tj. implementace Pythonu 3 optimalizovaná pro jednočipové počítače, byl vydán ve verzi 1.28.0. Z novinek lze vypíchnout novou třídu machine.CAN.
Michael Meeks, CEO společnosti Collabora, na apríla oznámil, nebyl to ale apríl, že nadace The Document Foundation zastřešující vývoj kancelářského balíku LibreOffice vyloučila ze svých řad všechny zaměstnance a partnery společnosti Collabora, tj. více než třicet lidí, kteří po mnoho let přispívali do LibreOffice. Nadace The Document Foundation po několika dnech publikovala oficiální vyjádření. Přiznává pochybení při zakládání
… více »Protože je už po aprílu, můžou strahováci opět zveřejnit program další Virtuální Bastlírny, aniž by připravená témata působila dojmem, že jde o žert. Vězte tedy, že v úterý 14. dubna (změna!!!) od 20:00 proběhne VB, kde se setkají bastlíři, technici, učitelé i nadšenci do techniky a kde i vy se můžete zapojit do družného hovoru, jako by všichni seděli u pomyslného piva. Co mají bastlíři tento měsíc na srdci? Pravděpodobně by nás musel zasáhnout
… více »Byla vydána verze 26.1 aneb čtvrtletní aktualizace open source počítačového planetária Stellarium (Wikipedie, GitHub). Vyzkoušet lze webovou verzi Stellaria na Stellarium Web.
VOID (Video Object and Interaction Deletion) je nový open-source VLM model pro editaci videa, který dokáže z videí odstraňovat objekty včetně všech jejich fyzikálních interakcí v rámci scény (pády, kolize, stíny...) pomocí quadmaskingu (čtyřhodnotová maska, která člení pixely scény do čtyř kategorií: objekt určený k odstranění, překrývající se oblasti, objektem ovlivněné oblasti a pozadí scény) a dvoufázového inpaintingu. Za projektem stojí výzkumníci ze společnosti Netflix.
Design (GitHub) je 2D CAD pro GNOME. Instalovat lze i z Flathubu. Běží také ve webovém prohlížeči.
V tomto článku, který volně navazuje na spíše obecný popis chroot prostředí v Linuxu, bych vám rád přestavil program Jail (Jail Chroot Project), který dokáže velice usnadnit vytváření a provozování chrootovaných aplikací a uživatelů.
Program je šířen pod licencí GNU a byl napsán v jazyku C. Základní skripty byly vytvořeny s pomocí bashe a perlu. Jail byl otestován na systémech Linux, Solaris, IRIX a FreeBSD (podle autora bude nejspíše fungovat v jakémkoliv unixovém systému). Napsal jej španělský "computer engineer" Juan Manuel Casillas. Odkazy na domovské stránky projektu jsou uvedeny níže. Na nich též najdete originální dokumentaci, ze které jsem čerpal pro tento článek.
V dalším textu budu předpokládat, že máte alespoň matnou přestavu o tom, co to chroot prostředí v Linuxu je, pokud ne, pak se podívejte na článek, ve kterém jsem o tom něco málo sepsal.
Pojďme se již konečně podívat, k čemu je vlastně program Jail dobrý a proč ho používat. Pokud to vezmeme trošinku oklikou, pak lze říci, že při chrootování nějakého programu je zřejmě nejtěžší správně určit všechny knihovny a soubory, které tento program potřebuje. A právě tu nastupuje program Jail, který dokáže automaticky "vybrat" všechno, co je potřeba a zkopírovat to na určené místo. Samozřejmě musím podotknout, že vše, co program Jail umí, lze provádět i "ručně", ale to v mnoha případech není vůbec jednoduché, takže proč si to neulehčit, že?
Instalace je velice rychlá a jednoduchá, stáhnete si klasický tarball se samotným programem, který má pouhých asi 30 KiB, rozbalíte jej a přepnete se do něj:
tar xfz jail_1.9.tar.gz
|
Pak můžete v adresáři src editovat soubor Makefile, ve kterém, mimo jiné, jde nastavit pro jaký "Unix" bude program kompilován (viz výše, např. Linux, Solaris ...), dále adresář, do kterého se program nainstaluje atd. Až budete spokojeni, pak obvyklým příkazem (stále v adresáři src)
make
|
program zkompilujete a příkaz
make install
|
zajistí instalaci, která se standardně provede do adresáře /usr/local.
Jelikož doufám, že vše proběhlo v pořádku, můžeme si ukázat, jak se s Jailem pracuje (jistě netřeba dodávat, že vše provádíme jako root). Pro uživatelskou práci slouží několik v Perlu napsaných skriptů (jsou tři a všechny si předvedeme v akci).
Prvním (možná spíš nultým) krokem je vytvoření adresáře, ve kterém budeme chroot prostředí provozovat (a který bude "novým kořenem"). Tento adresář může být v podstatě kdekoliv, takže např.:
mkdir /chroot
|
Dalším krokem je vytvoření tzv. základního prostředí s několika speciálními soubory (např. etc/passwd, dev/null, atd.). K tomuto slouží příkaz mkjailenv, takže např.:
/usr/local/bin/mkjailenv /chroot
|
Výstup příkazu vypadá takto:
mkjailenv
|
V této chvíli máme připraveno prostředí, které je ale zatím celkem k ničemu, protože v něm ještě není žádný software. Přidání základního balíku programů a k nim závislých knihoven a speciálních souborů provedeme příkazem addjailsw zadaným bez parametrů.
/usr/local/bin/addjailsw /chroot
|
Pro ukázku přikládám zkrácený výpis z mého počítače:
addjailsw
|
V této chvíli by již mělo být chroot prostředí plně funkční, můžeme to hned otestovat:
chroot /chroot
|
Pozn.: Můj první pokus skončil na hlášce "chroot: /bin/bash nelze provést: není souborem ani adresářem". V takovém případě ručně napravíme, co se programu zřejmě nepodařilo:
cp /bin/bash /chroot/bin
|
Potom by již mělo být vše v pořádku.
Protože nyní máme vytvořeno základní prostředí, tak si ukážeme (a vyzkoušíme) přidávání dalších programů, které je velmi snadné (narozdíl od chrootování, které se dělá "ručně"). K této činnosti opět slouží příkaz addjailsw, kterému, ale zadáme parametr -P a název programu, který má být do chroot prostředí převeden. Pokud se např. rozhodneme chrootnout interpret jazyka Perl, příkaz bude vypadat takto:
/usr/local/bin/addjailsw /chroot -P perl
|
Myslím, že netřeba přidávát výpis, ale každopádně se nelekněte případných hlášek o přepisování souborů, které tam již vytvořily předchozí příkazy a po projetí prográmku si vyzkoušejte jestli vše funguje:
chroot /chroot
|
Další užití programu Jail je chrootování uživatelů. Jail v tomto případě slouží jako logovací nástroj a pracuje jako "wrapper" na uživatelský shell. Takže pokud se dotyčný uživatel přihlásí, je Jail spušten a chroot prostředí je aktivováno.
Nejdříve je třeba založit uživatele v normálním (tzn. ne chroot) systému. Můžeme to udělat ručně, editací souboru /etc/passwd nebo použít příkaz adduser (useradd).
Následně spustíme příkaz addjailuser, který edituje chrootovaný /etc/passwd a také vytváří chrootovaný domovský adresář. Např.:
/usr/local/bin/addjailuser /chroot /home/pepa /bin/bash pepa
|
Parametry jsou následující:
Náš ukázkový výstup by měl vypadat takto:
addjailuser
|
To ale není vše. Aby to fungovalo tak, jak si přejeme, je třeba ručně upravit ne-chrootovaný /etc/passwd. Původní záznam, který vypadá nějak takto:
pepa:x:507:507::/home/pepa:/bin/bash
|
upravíme tak, že změníme domovský adresář na adresář, který bude kořenem pro uživatele v chroot prostředí a výchozí shell, kde nastavíme program jail:
pepa:x:507:507::/chroot:/usr/local/bin/jail
|
Tak a teď už je konečně uživatel pepa chrootovaný (pro jistotu si to ověřte 
).
Podle mých zkušeností program Jail funguje spolehlivě a jeho používání je velmi jednoduché. Pokud ale přeto narazíte na problém, zkuste se podívat na na tuto stránku, na které najdete diskuzní fórum, ve kterém vám poradí buď ostatní uživatelé nebo přímo Juan (autor programu).
Závěrem nezbývá než dodat, že program Jail dokáže velice zjednodušit vytváření chroot prostředí a přidávání do něj jak uživatelů tak aplikací. Dalo by se skoro říci, že s jeho pomocí je chrootnutí nějakého programu či uživatele v podstatě triviální záležitost (na rozdíl od ručního chrootování). Doufám, že vás článek alespoň trošku zaujal a případně vám bude užitečný v praxi. Máte-li připomínky či nápady neváhejte a svěřujte se v diskuzi.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
jailkit příkaz pro použití jk_init -j. Je to pak tedy trochu jinak než je výše popisováno v návodu. Přesto jako "námět" se mi článek líbí.
3.1.2004 20:05
theo | skóre: 15
| Rožnov ... hádej který?
/lib/ld-linux.so.2, no holt ten jail moc inteligentni neni, kdyz neumi ani korektne pouzit ldd...