Heute habe ich einen Teamspeak-Server in ein Chroot verbannt, weshalb ich hier kurz schildern möchte, wie ich das gemacht habe. Doch zunächst: Was ist ein Chroot?

chroot steht für “change root” und ist eine Funktion auf Unix-Systemen um das Rootverzeichnis zu ändern. Sie wirkt sich nur auf den aktuellen Prozess und seine Kindprozesse aus. “chroot” selbst kann sich auf den Systemaufruf chroot(2) als auch das Dienstprogramm chroot(8) beziehen.

Ein Programm das auf ein Verzeichnis re-rooted wurde, kann nicht mehr auf Dateien außerhalb dieses Verzeichnisses zugreifen. Chrooting bietet somit eine einfache Möglichkeit, nicht vertrauenswürdige, Test- oder sonstwie gefährliche Programme in eine Sandbox zu versetzen.

Quelle

Ich habe mich dabei an das Tutorial aus dem Teamspeak-Forum gehalten, welches ich hier in erweiterter und übersetzter Form veröffentlichen möchte: Zunächst muss man sich ein Verzeichnis schaffen, in dem das Chroot ausgebaut werden soll, also z.B. /home/ts-chroot/. Darin werden die benötigten System-Verzeichnisse erstellt (der TS-Server soll ja nicht merken, dass er nicht mehr im richtigen System ist ;) )Anschließend muss man ein paar Libraries, die Teamspeak braucht ins Chroot kopieren (übrigens kann man mit einem Klick auf “PLAIN TEXT” das ganze einfacher kopieren ;) ):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
mkdir etc
mkdir dev
mkdir lib
mkdir tmp
mkdir -p usr/lib/gconv
mkdir usr/lib/locale
mkdir -p var/run
cp /etc/group etc
cp /etc/ld.so.conf etc
cp /etc/localtime etc
cp /etc/passwd etc
cp /lib/ld-linux.so.2 lib
cp /lib/libc.so.6 lib
cp /lib/libdl.so.2 lib
cp /lib/libncurses.so.5 lib
cp /lib/libpthread.so.0 lib
cp /usr/lib/gconv/ISO8859-15.so usr/lib/gconv
cp /usr/lib/gconv/gconv-modules usr/lib/gconv
cp /usr/lib/locale/locale-archive usr/lib/locale/

Nun muss die etc/passwd sowie die etc/groups editiert und alle Zeilen bis auf den root und den TS-User/TS-Gruppe entfernt werden.

Teamspeak braucht leider ein /dev/null, ohne das produziert es einen Haufen Fehler, daher machen wir mal eben eins:

1
2
3
cd /home/ts-chroot/dev/
mknod null c 1 3
chmod 0666 null

Den Teamspeak-Server selbst muss man dann in ein Verzeichnis im Chroot kopieren, also z.B. in /home/ts-chroot/home/ts2/

Nun braucht man noch ein Script zum Starten des Server, für Debian Sarge habe ich es aus einem Forenbeitrag im Teamspeakforum kopiert:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
#! /bin/sh
#
# tss2        init script for TeamSpeak 2 Server
#
#        Written by Alexander Skwar <askwar @email-server.info>.
#       Modified slightly by Andrew Myers.
#

# Modify the next 3 lines
CHROOT_DIR=/home/ts-chroot/
EXECDIR=/home/ts2
USER=tss2
GROUP=tss2

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:${CHROOT_DIR}
EXEC=${EXECDIR}/server_linux
DAEMON=${CHROOT_DIR}${EXEC}
NAME=tss2
DESC="TeamSpeak 2 Server"
PIDFILE=${EXECDIR}/$NAME.pid
test -x $DAEMON || exit 0

set -e

case "$1" in
  start)
    echo "Starting $DESC: $NAME"
    start-stop-daemon --start --quiet --pidfile $PIDFILE \
        --chuid $USER:$GROUP \
        --chroot ${CHROOT_DIR} \
        --startas $EXEC \
        --exec $DAEMON \
        -- \
        -ini=${EXECDIR}/server.ini \
        -pid=$PIDFILE \
        -httpdocs=${EXECDIR}/httpdocs \
        -log=${EXECDIR}/server.log
    echo "."
    ;;
  stop)
    echo -n "Stopping $DESC: $NAME "
    start-stop-daemon --stop --quiet --pidfile ${CHROOT_DIR}$PIDFILE \
        --exec $DAEMON
    echo "."
    ;;
  #reload)
    #
    #    If the daemon can reload its config files on the fly
    #    for example by sending it SIGHUP, do it here.
    #
    #    If the daemon responds to changes in its config file
    #    directly anyway, make this a do-nothing entry.
    #
    # echo -n "Reloading $DESC configuration..."
    # start-stop-daemon --stop --signal 1 --quiet --pidfile \
    #    /var/run/$NAME.pid --exec $DAEMON
    # echo "done."
  #;;
  restart|force-reload)
    #
    #    If the "reload" option is implemented, move the "force-reload"
    #    option to the "reload" entry above. If not, "force-reload" is
    #    just the same as "restart".
    #
    echo "Restarting $DESC: $NAME"
    start-stop-daemon --stop --quiet --pidfile ${CHROOT_DIR}$PIDFILE \
        --exec $DAEMON
    sleep 1
    start-stop-daemon --start --quiet --pidfile $PIDFILE \
        --chuid $USER:$GROUP \
        --chroot ${CHROOT_DIR} \
        --startas $EXEC \
        --exec $DAEMON \
        -- \
        -ini=${EXECDIR}/server.ini \
        -pid=$PIDFILE \
        -httpdocs=${EXECDIR}/httpdocs \
        -log=${EXECDIR}/server.log
    echo "."
    ;;
  *)
    N=/etc/init.d/$NAME
    # echo "Usage: $N {start|stop|restart|reload|force-reload}" >&2
    echo "Usage: $N {start|stop|restart|force-reload}" >&2
    exit 1
    ;;
esac

exit 0

Das ganze kann man nun als /etc/init.d/teamspeak ablegen und mittels update-rc.d teamspeak defaults automatisch bei Systemstart ausführen lassen.

Das wars!