我疯了我的活服务器fail2ban不是启动监狱了。 当我启动fail2ban时,一切看起来都很好: fail2ban-client -x start: 2017-11-14 15:51:32,403 fail2ban.server : INFO Starting Fail2ban v0.8.6 2017-11-14 15:51:32,403 fail2ban.server : INFO Starting in daemon mode 当我看着监狱的状态: fail2ban-client status Status |- Number of jail: 0 `- Jail list: 日志/var/log/fail2ban.log中显示的几行是: 2017-11-14 15:51:32,443 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.6 2017-11-14 15:51:32,444 fail2ban.jail : INFO Creating new […]
我有一个运行debian操作系统的VPS,并希望在其上创build用户帐户。 我想这样,当用户使用sftplogin时,var中的所有内容都显示为他们的主目录,并且不能从中删除。 例如,当用户3login时,他们可以访问var(读,写,执行)中的所有内容,但不能查看(cd)user1或user2的个人内容。 我怎么去做这个? 我想我必须在chroot这样做,但我不知道这是如何工作的。 谢谢
我试图设置NRPE来启用新的FreeNAS 0.91系统的远程Nagios监视。 我主要有这个工作。 我可以连接和查询过程数,用户等基本信息。 但是我不能运行zpool list来查询RAIDZ的健康状况,这是正确监控这个盒子的关键。 当我从主要的root帐户运行,它的工作原理: [stewlg@bauer] /dev# zpool list NAME SIZE ALLOC FREE CAP DEDUP HEALTH ALTROOT BigMediaToo 21.8T 1.11T 20.6T 5% 1.00x ONLINE /mnt 但是当我从监狱里面运行它时,它并没有: root@NagiosJail:/usr/local/libexec/nagios # zpool list no pools available 我已经阅读了很多文章,但是我只是不确定我想让监狱环境做什么,所以我不知道要启用什么。 像这样的post似乎可能包含答案:但我不知道该怎么做。 是否需要编辑/etc/devfs.rules ? 系统布局,以帮助名称,如果有人有我的例子: /mnt/BigMediaToo单个ZFS卷 一个名叫NagiosJail的监狱。 它的数据集位于/mnt/BigMediaToo/JailsDataset 。
我试图在FreeBSD jail中设置一个mongodb。 我在文档中发现,我可以将bind_ip设置为127.0.0.1,以仅允许从本地主机访问。 但是,当我检查与sockstats它是绑定到我的监狱IP而不是本地主机。 sockstats -l46 mongodb mongod 86661 6 tcp4 10.0.0.1:27017 *:* 我的mongodbconfiguration port = 27017 bind_ip = 127.0.0.1 # do not communicate with the external world maxConns = 100 # you may want more objcheck = true dbpath = /var/db/mongodb noauth = true 所以我的问题是为什么绑定到10.0.0.1而不是127.0.0.1?
在基于Debian的系统上 我创build了一个简单的chroot / jail,使用类似于https://github.com/pmenhart/make_chroot_jail/blob/master/make_chroot_jail.sh的脚本,目的是创build一个基本上除了运行之外什么都不做的监狱所需的程序(为了安全)。 我的问题是,一旦build立监狱,什么被认为是最好的方法安装到监狱的程序? 由于监狱是最小的,没有软件包pipe理器,如apt,没有构build工具。 我需要安装程序到一个普通的帐户,并将所有需要的文件复制到chroot目录? 如果是这样,我将如何跟踪所有的变化,以了解我需要做的事情? 一个像rkhunter这样的小程序可以很容易地跟踪,但是像MySQL这样的大程序我无法做到,因为会有太多的文件需要复制和configuration文件来修改。 或者,有没有办法将一个最小的软件包pipe理器(如apt)安装到监狱中,安装所需的程序,最后删除软件包pipe理器? 有没有更好的做法,我不知道? 谢谢! 之前有人build议: 我知道维护多个chroot安装的额外负担 我知道它不会像您希望的那样增加安全性,因为configuration不当的chroot可能会被破坏。 容器可能是一个更好的select。 我知道一些程序已经具有内置chroot的function,但是我想知道一个安装程序的通用方法。
我有一个FreeBSD 11主机,我想在其中设置多个监狱。 官方指南build议将/usr/bin复制到每个容器中。 我的监狱应该几乎完全一样,这对我来说似乎是浪费的。 如果我可以在所有的jail中重用文件系统的相同部分,就好像Linux的mount –bind -o ro <host /usr/bin> <jailed /usr/bin> 。 这有可能吗?
我将下面添加到sshd_config,当我chmod 770用户文件夹我得到这个错误? 为什么? 我怎样才能让文件夹只能读取到用户或组? 所有者当前是root,并且该组当前是该用户名 fatal: bad ownership or modes for chroot directory – 编辑 – 这是一个用户sftp来存储文件。 只有该用户或该组才能访问该文件夹。 我不明白为什么我不能将权限从755改为775。 当我尝试以用户身份login时,添加写入权限会给我一个错误。 sshd_config中: Match group SomeGroup ChrootDirectory /mnt/somedir/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp
最近我被告知用户有我的系统“炮轰”。 虽然在Apache错误日志等没有任何不寻常的活动或错误,我宁愿安全,而不是遗憾。 所以:如果我运行chroot Apache,它会阻止shell脚本能够检索敏感信息吗? 即能够做一个mysqldump或类似的东西,不pipe如果具有数据库细节的configuration文件在Apache监狱? 谢谢
我正在考虑改变我的networking服务器,以使Apache(以及所有的djangonetworking应用程序)在监狱里运行,而不是在主机上运行。 我想做这个改变有两个原因,第一个也是主要的原因是要多了解一下监狱,以及他们是如何工作的。 次要的担心是安全和沙盒我目前的networking服务器。 有了这个说法,我想知道将主机上正在运行的Apache实例转移到监狱需要执行哪些步骤? 我有一个与jail jail的jails文件夹build立一个zfs分区。 在www jail我已经安装了Apache并迁移了所有的configuration文件。 我如何改变我的configuration文件,以便他们将监听主机传递的数据包,以及如何设置我的主机,以便它将这些数据包转发到我的万维网监狱? 更新:所以我读了手册的监狱部分,我已经build立了一个rc.conf和监狱。 我想我真正要问的是我需要改变我的任何Apacheconfiguration? 我可以使用与主机相同的监狱IP地址吗? 如果可以的话,我可以保留我的apacheconfiguration吗?
我用chroot用户 chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list 而我是chroot_list文件中的唯一用户。 其他用户login监狱,但当他们去相对父目录..他们能够移动服务器。 我如何使他们的主目录是他们可以到达的最父目录?