👩‍❤️‍💋‍👨 🐻 🌄 कस्टम वेब अनुप्रयोगों को अलग करने के लिए मैक ओएस एक्स सर्वर पर सैंडबॉक्स का उपयोग करना 🕉️ 🖖🏿 👨🏻‍🍳

थोड़ा गेय परिचय

किसी तरह मेरे पास एक ग्राहक था जो एक अजीब चाहता था, अर्थात् एक आसान-से-प्रबंधित होस्टिंग जो उपयोगकर्ताओं को कैम्पिंग माइक्रोफ़्रामवर्क के आधार पर अलगाव में वेब एप्लिकेशन डाउनलोड करने और चलाने की अनुमति देगा। और मैंने इसे प्रस्तावित वर्चुअल सर्वर पर FreeBSD 9.0 को चलाने के लिए बनाया, जिसमें nginx, thin server और ezjail का उपयोग जेल प्रबंधन टूल के रूप में किया गया था (सब कुछ बहुत मामूली है, लेकिन अगर किसी को दिलचस्पी है तो मैं इसका वर्णन करूंगा)। एक हफ्ते बाद, ग्राहक ने मुझे स्वीकार किया कि वह वास्तव में Apple समाधान का प्रशंसक था और मैक ओएस एक्स चलाने वाले अपने मुख्य सर्वर पर उसी प्रणाली को देखना चाहता था। और मैं खुशी से समाधान के लिए सहमत हो गया, क्योंकि मुझे पहले छूने में कोई खुशी नहीं हुई थी। यह प्रणाली और कम से कम इसका अध्ययन करना चाहती थी। केवल एक "लेकिन" था - मैकओएस एक्स सर्वर पर कोई जेल (8) नहीं है। इसलिए, उपयोगकर्ता द्वारा लोड किए गए एप्लिकेशन को यथासंभव सुरक्षित रूप से चलाने के समाधान की तलाश में (मैं कई कारणों से चेरोट का उपयोग नहीं करना चाहता था), मुझे सिस्टम में एक बहुत ही लचीला और पूरी तरह से एकीकृत टूल मिला - सैंडबॉक्स ।

होस्टिंग के लिए नींव का निर्माण

सैंडबॉक्स

सैंडबॉक्स एक अद्भुत उपकरण निकला। कुछ AppArmor की याद ताजा करती है, कुछ SeLinux, और कुछ पूरी तरह से अनोखे तरीके से एप्लिकेशन को जांच में रखती है और इसे वास्तव में काम करने की आवश्यकता से अधिक सुविधाएँ नहीं देती हैं। सैंडबॉक्स नीतियों को जिस तरह से लागू किया जाता है वह सैंडबॉक्स में एप्लिकेशन को लॉन्च करना है, एक विकल्प के रूप में गुजरता है जो इस एप्लिकेशन के लिए पहले से लिखा गया है (सुरक्षा नीतियों का विवरण युक्त एक पाठ फ़ाइल)। दुर्भाग्य से, सैंडबॉक्स दस्तावेज़ीकरण में थोड़ा कमज़ोर है, जिसका उपयोग मैं (फ्रीबीएसडी हैंडबुक डिटेल कॉरुपेट्स) करने के लिए कर रहा हूँ, हालाँकि, नेटवर्क पर विशिष्ट प्रोफाइल लिखने के कई उदाहरण थे, जिसने कार्य को बहुत आसान बना दिया। मुझे हल्के पतले रूबी एप्लिकेशन सर्वर के लिए एक प्रोफ़ाइल लिखने की आवश्यकता है, इसका उपयोग कैसे किया जाता है, मैं नीचे वर्णन करूंगा। कोई भी प्रोफ़ाइल मार्कअप भाषा संस्करण की घोषणा के साथ शुरू होती है और, अधिमानतः, डिफ़ॉल्ट नीति (स्पष्ट रूप से हमारे मामले में निषेधात्मक)। सभी निर्देश या उनके सेट कोष्ठक में संलग्न हैं। नियमों के दायरे का विस्तार करते हुए नीति के नाम (या "ऑपरेशन" - संचालन) मास्क (वाइल्डकार्ड - *) का समर्थन करते हैं। फिल्टर (उनमें से केवल 6 हैं: पथ नेटवर्क फ़ाइल-मोड xattr मच सिग्नल) नियमों के अनुसार सेट किए गए हैं ( यहां अधिक विवरण के लिए सिंटैक्स देखें)। उदाहरण के लिए, पथ को एक स्ट्रिंग द्वारा शाब्दिक रूप से दिया जा सकता है, एक नियमित अभिव्यक्ति (रेगेक्स) और, मुझे अंग्रेजी को ट्रेस करने के लिए क्षमा करें, "उपपथ"। सभी टिप्पणियाँ '?' से शुरू होती हैं:

; ; Sandbox profile for application owned by virtual (non-system) user XXXXXX ; (version 1) ;     (deny default) ;           ; (,      unix-).  ;  ,       ; unix- (allow network-bind) ;   Thin       (. ) ;  ,   fork() (allow process-fork) ;      DirectoryService       ;  ,      . (allow mach-lookup (global-name "com.apple.system.DirectoryService.libinfo_v1") (global-name "com.apple.system.DirectoryService.membership_v1") ) ;       Thin-,   ruby ;  - -  ,    ;-) (allow process-exec (regex "^/System/Library/Frameworks/Ruby.framework/Versions/1.8/usr") (regex "^/usr/bin/thin$") ) ;   ,        file-read   ; ,   regex ^/opt/sandbox/apps/XXXXXX ;    -  ,    -  (allow file-read-metadata (literal "/opt/sandbox/apps/XXXXXX/log") (literal "/opt/sandbox/apps/XXXXXX/tmp") ) ;     gem',         (allow file-read* (literal "/usr/bin/thin") (regex "^/System/Library/Frameworks/Ruby.framework/Versions/1.8/usr") (regex "^/System/Library/PrivateFrameworks/TrustEvaluationAgent.framework/Versions/A/TrustEvaluationAgent") (regex "^/Library/Ruby/Gems/1.8/") (regex "^/usr/lib") (regex "^/opt/sandbox/apps/XXXXXX") ) ;       , -  . (allow file* (regex "^/opt/sandbox/apps/XXXXXX/tmp/thin.sock$") (regex "^/opt/sandbox/apps/XXXXXX/tmp/thin.pid$") (regex "^/opt/sandbox/apps/XXXXXX/log/thin.log$") )

पतला

कस्टम कैम्पिंग एप्लिकेशन चलाने के लिए थिन को चुना गया था। मोंगरेल, पैसेंजर, uWSGI या कुछ और क्यों नहीं? उन्होंने सभी आवश्यक कार्यों का समर्थन किया और संसाधनों पर बहुत मांग नहीं थी (गंभीर अध्ययन, हालांकि, मैंने ऐसा नहीं किया)। इसके अलावा, मैं यह पता नहीं लगा सका कि पैसेंजर को इस तरह से कैसे तैयार किया जाए कि यह किसी तरह अलगाव में एप्लिकेशन चलाए, हालांकि सबसे अधिक संभावना यह है कि यह किसी भी तरह से संभव था (मैं अलग-अलग उपयोगकर्ताओं की ओर से नगनेक्स की कई प्रतियां चलाने का विकल्प नहीं लेता, यह विकल्प माना जाता था, लेकिन चिह्नित किया गया था) और अगर कोई टिप्पणी में काम करने का सुझाव देता है, तो मुझे देखकर खुशी होगी। मेरे पसंदीदा पसंदीदा हारवेस्टर - अंतिम टिप से uWSGI - फ्रीबीएसडी पर रैक अनुप्रयोगों के साथ ठीक से काम करने से इनकार कर दिया (जिसके बारे में डेवलपर को सूचित किया गया था और कुछ दिनों के भीतर सब कुछ ठीक हो गया था, लेकिन अफसोस, ट्रेन छूट गई), और मैकओएस एक्स के लिए कुछ भी नहीं जा रहा है। मोंगरेल के पास थिन पर रुकने की कोशिश करने का समय नहीं था, यह वास्तव में उसके साथ अच्छा हुआ। तो, यहाँ थिन कंटेनर में कैम्पिंग रैक-आधारित अनुप्रयोग की लॉन्च लाइन है:

 cd /opt/sandbox/apps/XXXXXX && \ sandbox-exec -f /opt/sandbox/profiles/XXXXXX.sb \ /usr/bin/thin --socket /opt/sandbox/apps/XXXXXX/tmp/thin.sock \ --rackup /opt/sandbox/apps/XXXXXX/approot/config.ru \ --environment production --timeout 4 --chdir /opt/sandbox/apps/XXXXXX/approot \ --log /opt/sandbox/apps/XXXXXX/log/thin.log \ --daemonize --pid /opt/sandbox/apps/XXXXXX/tmp/thin.pid \ --user thinbot --group thinbot --tag XXXXXX start

'टैग' विकल्प शीर्ष और पीएस में देखने का एक अच्छा अवसर देता है जो बिल्कुल सभी संसाधनों (सिस्टम उपयोगकर्ता को सभी लॉन्चों के लिए अकेले उपयोग किया जाता है) खाया।

nginx

सब कुछ तुच्छ है। कोई आँकड़े नहीं। होस्टिंग के वर्चुअल "उपयोगकर्ता" का नाम इसके लिए आवंटित उपडोमेन के बराबर है:

  server { server_name ~(.+).domain.tld; set $user $1; location / { proxy_pass http://unix:/opt/sandbox/apps/$user/tmp/thin.sock:/; } }

स्क्रिप्ट बाइंडिंग

मैंने बंधन को डिजाइन करने के लिए श का उपयोग किया क्योंकि मुझे सरल और पोर्टेबल चीजें पसंद हैं। आलोचना का स्वागत है, स्क्रिप्ट बहुत नम रहे हैं। यह माना जाता है कि स्क्रिप्ट को रूट (मूल) के रूप में चलाया जाता है।
आभासी उपयोगकर्ता प्रबंधन - users_management.sh:

 #!/bin/sh # Mike Kuznetsov 2012 mike4gg@gmail.com user=$1 action=$2 usage() { echo "Usage: `basename $0` <username> <create|remove|list>" exit } if [ "${action}x" = "x" ]; then usage fi sb_app_dir=/opt/sandbox/apps/${user} sb_app_root=${sb_app_dir}/approot sb_profile=/opt/sandbox/profiles/${user}.sb thin_sock=${sb_app_dir}/tmp/thin.sock thin_pid=${sb_app_dir}/tmp/thin.pid thin_log=${sb_app_dir}/log/thin.log thinuser=thinbot thingroup=thinbot create_sandbox() { cat <<EOF > ${sb_profile} ; ; Sandbox profile for application owned by virtual (non-system) user ${user} ; (version 1) (deny default) (allow network-bind) (allow process-fork) (allow mach-lookup (global-name "com.apple.system.DirectoryService.libinfo_v1") (global-name "com.apple.system.DirectoryService.membership_v1") ) (allow process-exec (regex "^/System/Library/Frameworks/Ruby.framework/Versions/1.8/usr") (regex "^/usr/bin/thin$") ) (allow file-read-metadata (literal "${sb_app_dir}/log") (literal "${sb_app_dir}/tmp") ) (allow file-read* (literal "/usr/bin/thin") (regex "^/System/Library/Frameworks/Ruby.framework/Versions/1.8/usr") (regex "^/System/Library/PrivateFrameworks/TrustEvaluationAgent.framework/Versions/A/TrustEvaluationAgent") (regex "^/Library/Ruby/Gems/1.8/") (regex "^/usr/lib") (regex "^${sb_app_dir}") ) (allow file* (regex "^${thin_sock}$") (regex "^${thin_pid}$") (regex "^${thin_log}$") ) EOF mkdir ${sb_app_dir} mkdir ${sb_app_root} mkdir ${sb_app_dir}/tmp mkdir ${sb_app_dir}/log chown -R ${thinuser}:${thingroup} ${sb_app_dir} } case ${action} in create) if [ -d ${sb_app_dir} ]; then echo "User's application directory ${sb_app_dir} exists. Exiting" usage elif [ -f ${sb_profile} ]; then echo "User's sandbox profile ${sb_profile} exists. Exiting" usage fi printf "Creating sandbox for user ${user}... " create_sandbox echo "done" ;; remove) printf "Removing sandbox for user ${user}... " if [ -f ${thin_pid} ]; then /usr/bin/thin --pid ${thin_pid} stop > /dev/null 2>&1 fi if [ -d ${sb_app_dir} ]; then rm -r ${sb_app_dir}; fi if [ -f ${sb_profile} ]; then rm ${sb_profile}; fi echo "done" ;; list) printf "Username\tApplication state\tPID\tMemory usage\n" echo "-----------------------------------------------------------------" total_mem=0 for user_ in `ls /opt/sandbox/apps` do if [ -f /opt/sandbox/apps/${user_}/tmp/thin.pid ]; then pid_=`cat /opt/sandbox/apps/${user_}/tmp/thin.pid` ps ax | grep ^${pid_} > /dev/null if [ $? -eq 0 ]; then mem_=`ps -p ${pid_} -o rss | tail -1 | awk '{ print $1 }'` mem=`expr ${mem_} \/ 1024` total_mem=`expr ${total_mem} + ${mem}` printf "${user_}\t\trunning\t\t${pid_}\t\t${mem}Mb\n" else printf "${user_}\t\tnot running\n" fi else printf "${user_}\t\tnot running\n" fi done echo "-----------------------------------------------------------------" printf "Total memory usage: ${total_mem}Mb\n" ;; *) usage ;; esac

उपयोगकर्ता अनुप्रयोग प्रबंधन - application_management.sh:

 #!/bin/sh # Mike Kuznetsov 2012 mike4gg@gmail.com user=$1 action=$2 sb_app_dir=/opt/sandbox/apps/${user} sb_app_root=${sb_app_dir}/approot sb_profile=/opt/sandbox/profiles/${user}.sb thin_sock=${sb_app_dir}/tmp/thin.sock thin_pid=${sb_app_dir}/tmp/thin.pid thin_log=${sb_app_dir}/log/thin.log thinuser=thinbot thingroup=thinbot exitcode=0 usage() { echo "Usage: `basename $0` <username> <start|stop|restart>" exit 0 } start_thin() { if [ -f ${thin_pid} ]; then pid_=`cat ${thin_pid}` ps ax | grep ^${pid_} > /dev/null if [ $? -eq 0 ]; then echo "Thin instance for user ${user} is already running. Maybe try restart?" usage fi fi printf "Starting thin instance for user ${user}..." if [ -f ${thin_pid} ]; then rm -f ${thin_pid} fi cd ${sb_app_dir} sandbox-exec -f ${sb_profile} /usr/bin/thin --socket ${thin_sock} --rackup ${sb_app_root}/config.ru \ --environment production --timeout 4 --chdir ${sb_app_root} --log ${thin_log} --daemonize --pid ${thin_pid} \ --user ${thinuser} --group ${thingroup} --tag ${user} start cd - > /dev/null sleep 1 pid_=`cat ${thin_pid}` ps ax | grep ^${pid_} > /dev/null if [ $? -eq 0 ]; then echo "done" else echo "FAILED!" echo "Last 20 lines of logfile ${thin_log}:" tail -20 ${thin_log} exitcode=10 fi } stop_thin() { if [ -f ${thin_pid} ]; then pid_=`cat ${thin_pid}` ps ax | grep ^${pid_} > /dev/null if [ $? -ne 0 ]; then echo "Thin instance for ${user} user is already stopped or died. Maybe try start?" usage fi else echo "Pid file ${thin_pid} not found. Nothing to stop." usage fi printf "Stopping thin instance for user ${user}..." /usr/bin/thin --pid ${thin_pid} stop > /dev/null if [ $? -eq 0 ]; then echo "done" else echo "FAILED!" echo "Last 20 lines of logfile ${thin_log}:" tail -20 ${thin_log} exitcode=20 fi } if [ "${action}x" = "x" ]; then usage fi if [ ! -d ${sb_app_dir} ]; then echo "User's application directory ${sb_app_dir} doesn't exist. Exiting" usage elif [ ! -f ${sb_profile} ]; then echo "User's sandbox profile ${sb_profile} doesn't exist. Exiting" usage fi case ${action} in start) start_thin ;; stop) stop_thin ;; restart) stop_thin start_thin ;; *) usage ;; esac exit ${exitcode}

निष्कर्ष

सैंडबॉक्स एक काफी शक्तिशाली सैंडबॉक्स है, जो मुझे लगता है, मैक ओएस एक्स को सर्वर प्लेटफॉर्म के रूप में लोकप्रिय बनाने के लिए सेवा कर सकता है।

पुनश्च: हबराब्र साइट के प्रशासन के लिए बहुत धन्यवाद, जिसने नकारात्मक कर्मों के साथ भी पोस्ट प्रकाशित करने की अनुमति दी। मुझे वास्तव में उम्मीद है कि इस लेख के लिए दर्शकों का रवैया बहुत सख्त नहीं है - यह हैबे पर मेरी पहली वास्तविक पोस्ट है - और मुझे लिखना जारी रखने की उम्मीद है। मुझे लगता है कि निकट भविष्य में मैं ऐसे विषयों पर लिखूंगा: एक जांगो एप्लिकेशन के एक पैच के तत्काल वेब प्रस्तुति के लिए गिट हुक और शाही uWSGI मोड का उपयोग करना; लचीला बनाने के लिए एक सार्वभौमिक वेब अनुप्रयोग कंटेनर के रूप में uWSGI और होस्टिंग की एक भाषा तक सीमित नहीं है; सूचनात्मक DBMS की राष्ट्रीय तैनाती की विशेषताएं। लेकिन अगर आप मना करते हैं, तो मैं नहीं करूंगा।
सभी को धन्यवाद।

कस्टम वेब अनुप्रयोगों को अलग करने के लिए मैक ओएस एक्स सर्वर पर सैंडबॉक्स का उपयोग करना