Jailkit: una ''gabbia'' per tenere il PC al sicuro

Ecco spiegato come confinare l’esecuzione e l’uso di applicazioni e servizi all’interno di una “zona chiusa” per proteggere al meglio il sistema

(pagina 3 di 3)

jk_update –j /home/securcopy –d

Il commando restituirà a video ciò che è necessario aggiornare. Se non otterremo alcuna istruzione in merito significa che la jail è perfettamente allineata con il sistema Se reputiamo necessario effettuare un’eventuale aggiornamento eseguiamo allora jk_update senza l’opzione –d:

jk_update –j /home/securcopy

A questo punto non rimane altro che eseguire periodicamente un controllo di integrità dell’ambiente tramite il tool jk_check. Questo comando si basa sul file di configurazione jk_check.ini contenuto all’interno di /etc/jailkit (file system primario). Ricordate sempre che jk_check controlla anche le corrispondenze /dir/./dir/ degli utenti “jailed“ descritti all’interno del file /etc/passwd (file system primario). Inseriamo, quindi, le seguenti istruzioni aggiungendo o modificando i percorsi delle directory. Nel caso specifico:

[/home/securecopy]

ignorepathoncompare = /home/securecopy/home,

/home/securecopy/etc, /home/securecopy/tmp, \

/home/securecopy/bin, /home/securecopy/dev,

/home/securecopy/lib, /home/securecopy/usr

ignorewritableforgroup = /home/securecopy/tmp

ignorewritableforothers = /home/securecopy/tmp

Salviamo e testiamo la jail eseguendo jk_check. Se non otterremo errori a video significa che la jail è integra e possiamo quindi schedulare a nostra discrezione il controllo tramite crond. Modifichiamo, quindi, la tabella di scheduling eseguendo crontab –e. Supponiamo di voler pianificare il controllo d’integrità ogni martedì alle 3:30 A.M. Il comando dovrà essere quello seguente:

30 3 * * 2 /usr/sbin/jk_check

A questo punto, abbiamo visto come utilizzare Jailkit per configurare e rendere operativi applicazioni, servizi e utenti all’interno di un ambiente chroot stabile e affidabile senza troppe complicazioni. Jailkit ha dalla sua l’installazione semplice, una suite di comandi adatti a qualsiasi tipo di “progetto”, un’efficace sistema di aggiornamento e l’indispensabile controllo d’integrità dell’ambiente. Meglio di così!?