我最近试图在我的一个FreeBSD服务器上设置jail,并且在尝试通过FTP下载FreeBSD软件包时遇到了奇怪的错误。 我在PF防火墙中有这些规则,允许在主机上下载软件包,它们工作的很好: ext_if = "bge0" # Allow downloads pass out log on $ext_if proto tcp to any port {20, 21, 22, 80, 443} # Special exception for FTP. pass out log on $ext_if proto tcp to any port > 49151 keep state 但是当我尝试从Jail内部安装软件包时,FTP连接就超时了。 我得到的错误消息是这样的: %pkg_add -vr bash [snipped FTP connection setup] >>> CWD pub/FreeBSD/ports/amd64/packages-8.1-release/Latest <<< […]
我已经build立了一个vsftpd服务器,其本地用户被监禁在他们的主目录中。 无论如何,如果我通过FTP客户端连接,我可以执行系统调用“!” 命令。 我如何configurationvsftpd来拒绝这些调用? ftp> ! cat /etc/shadow … Working! Contents of /etc/shadow will be visible … 更新: 问题在于vsftpd服务器正在以root权限运行,因此能够读取阴影文件。 但问题仍然存在: 我怎样才能禁用一般的系统调用?
我一直在考虑如何限制用户访问他们自己的目录,而不是允许他们浏览自己的用户目录。 我正在使用SFTP,并且不想安装普通的FTP,因为引入了所有额外的安全问题。 rbash听起来像一个好主意,减去它禁用cd的事实。 我希望用户能够在其主目录中创build目录,并浏览他们自己的文件夹。 一个chroot监狱听起来就像它有自己的一套问题,听起来更像是头疼而不值得。 所以,我的问题是,是否有更简单的方法来限制用户只能够浏览他们的用户目录,而不是他们的用户目录之上的任何东西?
我有监狱ssh到一个目录。 我很乐意为jail ssh用户提供r / w访问权限给几个目录 。 例如 的/ tmp /用户 / home / user的 / SRV /networking/用户 那可能吗?
在/etc/fail2ban/jail.local ,当我将MTA设置为Postfix时,Fail2Ban显示错误,无法启动。 [DEFAULT] ignoreip = 127.0.0.1/8 bantime = 1800 maxretry = 4 destemail = [email protected] mta = postfix action = %(action_mwl)s 错误: WARNING 'findtime' not defined in 'ssh'. Using default value ERROR /etc/fail2ban/action.d/postfix-whois-lines.conf and /etc/fail2ban/action.d/postfix-whois-lines.local do not exist ERROR Error in action definition postfix-whois-lines[name=ssh, dest="[email protected]", logpath=/var/log/auth.log, chain="INPUT"] ERROR Errors in jail 'ssh'. Skipping… ['set', 'loglevel', […]
我在/ var / www /文件夹中有一些由www-data(apache的用户)拥有的重要文件。 他们必须是www数据,因为PHP有时会写信给他们。 我也有访问系统的用户在/ home / …他们有权访问网站,但是FTP根植于他们的主目录。 我认为可以简单地制作一个PHP文件,让他们读取我的/ var / www / PHP文件的大部分内容,更不用说写/删除我的www数据拥有文件了。 我怎样才能让PHP和其他命令被监禁到用户主目录?
我已经在IP地址为192.168.100.174的私人networking上的freebsd监禁apache ,我有另一个主机上运行的Apache服务器,但它被configuration为监听其他IP地址,但这。 现在我还需要做些什么来使被监禁的apache可以在同一networking的另一台机器上访问? 我在DocumentRoot /usr/local/www/apache22/data有一个index.html页面。 我希望能够通过URL http://192.168.100.174/访问它 apache在监狱工作确定: [root@mambo-webhost /]# /usr/local/etc/rc.d/apache22 status apache22 is running as pid 87597. [root@mambo-webhost /]# 谢谢 ===== 我有两个版本的Apache运行:一个在主机上,一个在监狱里。 我在狱中安装了jailed apache,并试图在Jail中运行较新的PHP版本。 我不知道我是否真的在做正确的事情,但我还没有遇到任何文件如何实现这一目标。 我可以telnet到端口80上的192.168.100.174 sandbox2:~$ telnet 192.168.100.174 80 Trying 192.168.100.174… Connected to 192.168.100.174. Escape character is '^]'. …只有在主机(监狱主机)上运行的Apache正在侦听IP地址192.168.100.144。 但是我需要jailed apache成为http://192.168.100.174/请求访问的服务器。 这可能吗? netstart -rn输出 # netstat -rn Routing tables … 192.168.100.145 d0:27:88:03:19:92 UHLW […]
我试图build立一个chroot监狱,然后我做了: which binary ldd /bin/binary 然后我做了: cp /lib64/{libs} $jail/lib64 cp /usr/lib64/{libs} $jail/usr/lib64 PS:在这个设置过程中,我发现/ lib64需要特殊的权限rx,只有r–不会工作(在chroot内部或外部)。 将二进制文件复制到$ jail,创build/ home / jailuser。 创buildproc,dev,sys并挂载它们。 为jailuser:用户finduid和gid 更改主目录的所有权: chown jailuser:users chmod 700 (for dirs) chmod 600 (for files) 将其他文件的所有权更改为root:root,权限请参阅前面的内容。 然后在根下进入监狱: export USER=jailuser (and I did the same with LOGNAME, HOME) cd $jail chroot –userspec=$uid:$gid $jail $jail/binary 它的工作,但: 在我的本地框中,只有005的非jailuser权限。 在一个KVM VPS中,尝试了相同的,但唯一的权限是050! 请,有人知道: […]
我有FreeBSD 10.2,我正在使用几个Jail,其中一个安装了Postfix。 我希望我的其他监狱和我的主机系统在Jail中使用本地Postfix安装。 他们应该使用sendmail将邮件提交给Postfix Jail。 在其他Jail和Host中适当的设置是什么? 我已经可以发送来自Postfix监狱和主机的邮件。 在Host中我已经在/etc/mail/mailertable : xxx.yy smtp:mail.xxx.yy *.xxx.yy smtp:mail.xxx.yy 我也有一个/etc/mail/sendmail.mc (我不确定是否真的需要它,如果它是正确的)在主机上: include(`/usr/share/sendmail/cf/m4/cf.m4')dnl OSTYPE(freebsd6)dnl DOMAIN(generic)dnl FEATURE(access_db, `hash -o -T<TMPF> /etc/mail/access')dnl FEATURE(blacklist_recipients)dnl FEATURE(local_lmtp)dnl FEATURE(mailertable, `hash -o /etc/mail/mailertable')dnl FEATURE(virtusertable, `hash -o /etc/mail/virtusertable')dnl define(`SMART_HOST', `[10.0.0.3]')dnl define(`MAIL_HUB', `[10.0.0.3]')dnl MASQUERADE_AS(`xxx.yy')dnl FEATURE(`masquerade_envelope')dnl GENERICS_DOMAIN(host.xxx.yy HOST)dnl FEATURE(genericstable)dnl define(`confCW_FILE', `-o /etc/mail/local-host-names')dnl DAEMON_OPTIONS(`Name=IPv4, Family=inet')dnl define(`confBIND_OPTS', `WorkAroundBrokenAAAA')dnl define(`confNO_RCPT_ACTION', `add-to-undisclosed')dnl define(`confPRIVACY_FLAGS', `authwarnings,noexpn,novrfy')dnl define(`confDONT_PROBE_INTERFACES',`True')dnl define(`confDEF_CHAR_SET',`ISO-8859-1')dnl […]
我打算提供有限的ssh访问备份服务。 到目前为止,我想到的最好的解决scheme是使用chroot,只允许访问某些命令,例如:cd,mkdir,mv,rm,rsync,sftp等,并将主目录挂载为noexec。 我打算在一个centos 7系统上这样做。 有没有什么方法可以让恶意客户摆脱chroot系统侵入其他用户的数据或创build其他问题? 任何其他安全考虑?