我有一个FreeBSD DigitalOcean液滴,我按照这个指南 准确地build立了一个监狱。 问题是我无法在监狱里获得可靠的networking连接。 做curl https://www.google.com/我试图连接到服务器时得到1分钟的延迟: 在第二个星号之后,连接非常快速地build立起来。 ping我得到100%的数据包丢失,偶尔我无法parsing主机名。 在一个命令期间它将不起作用,但是在我尝试下一个命令之前,它会稍微延迟一段时间。 我试着用ssh -T [email protected]来查看SSH是否工作正常,而且我似乎总能得到一个连接(当主机名查找工作时)。 我只有这些问题在监狱里,而不是在主机上。
我试图build立一个监狱,将作为我的一些外部客户的默认网关。 我有一个VIMAGE监狱,在我的本地networking有一个专用的IP地址,我想用作我的客户的网关。 我这样做的原因,如果重要的是,我想在监狱里运行OpenVPN,所以我所有使用监狱的IP作为网关的客户端都将透明地通过VPN。 当我进入监狱ssh的一切正常:我可以看到互联网,即使当我打开OpenVPN的按预期工作。 但是,它不作为我的客户的默认网关:名称不解决,“没有路由到主机”,等等 当我在监狱内运行tcpdump ,我看到以下内容: 20:53:23.263597 IP 192.168.1.6.54460 > syd15s01-in-f78.1e100.net.https: UDP, length 109 20:53:23.263636 IP 192.168.1.6.54460 > syd15s01-in-f78.1e100.net.https: UDP, length 109 其中192.168.1.6是客户的IP,所以我假设客户端试图通过监狱到达互联网,但没有回来。 我有时也会看到一些ICMPstream量。 我的ipfwconfiguration是: # less /usr/local/etc/ipfw.rules #!/bin/sh EPAIR=$(/sbin/ifconfig -l | tr " " "\n" | /usr/bin/grep epair) INNER="$(/sbin/ifconfig | grep " –>" | cut -d' ' -f2 | cut -d'.' -f1-3).0/24" ipfw […]
我有一个chroot用户监狱环境的Linux服务器。 用户文件保存在 /jail/username/httpdocs 目前正在解决 http://IPADDRESS/~username 我需要用户能够设置自己的虚拟主机configuration,而不是使用全局apache2.conf,即用户将创build文件 /jail/username/vdomains/domain.com.conf 它会把他们的虚拟主机信息。 这可能吗?
我觉得我已经通过互联网上的每一个SFTP / Chroot教程,并没有find我在找什么(或者,至less,他们没有产生正确的结果)。 这是我的细节: 我将通过脚本创build大量的个人用户帐户。 因此,任何需要我非常精细地手动编辑每个用户的文件的解决scheme都不是一件好事。 每个用户都会在/ var / www / html / USER文件夹中获得一个目录,其中USER是他们的用户名。 他们应该有对这个目录的全部写入权限,并且能够创build和编辑子目录,但是它们应该完全被locking在文件树中较高的任何目录之外(他们不应该能够列出,更不用说编辑,/ var / www / html /或/ var / www /或/ var /等) 而已。 看起来很简单吧? 然而,我所看到的大多数例子都是关于将所有的SFTP用户locking在一个单一的共享目录中,或者要求你将用户“监禁”到他们的/ home / USER目录(这对web服务不起作用)。 我不要那个。 我正在使用Ubuntu 16.04在新的AWS EC-2实例上执行此操作。 我试过的两种方法徒劳无功: 将用户的HOME设置为/ var / www / html / USER,Chroot将它们监控到HOME。 无论出于何种原因,这似乎并不奏效 – 这会导致SFTP拒绝连接。 为用户设置一个标准的HOME目录(例如使用adduser),创build用户的Web目录,Chroot将它们监控到Web目录。 尽pipe经历了几天的尝试,我还没有设法使这个工作–SFTP帐户仍然最终隧道到HOME目录,这往往意味着他们被拒绝Chroot监狱。 结果发生的是用户有太多的自由,或者完全被locking。 我从来没有设法进入一个情况,用户只能看到正确的目录,并能够编辑它。 我已经尝试了该目录下的每个chown设置(例如,user:user,user:sftp,root:root)和权限设置,似乎没有任何效果。 我错过了一些显而易见或深奥的东西。 […]
假设你有一个chroot环境,你需要一个资源 – 一个应用程序或一个库,它驻留在主机上(在chroot外部)。 哪些是安全的影响(如果有的话)执行mount –bind (从主机到chroot)在该资源上,而不是安装在chroot – 即通过apt-get install – ?
我有一个configuration,特定的用户只能在sftplogin而不是ssh。 用户也被关在特定的目录中。 假设用户名是stefanos ,他的根目录是/vhosts/wild.domain.com/ 该目录使用mount -o bind /var/www/websites/site1/ /vhosts/wild.domain.com/进行mount -o bind /var/www/websites/site1/ /vhosts/wild.domain.com/ sshd_config是: Match user stefanos ChrootDirectory /vhosts/wild.domain.com/ ForceCommand internal-sftp 日志是: Jun 23 15:42:52 hostname sshd[32447]: Accepted password for stefanos from 11.22.33.44 port 64759 ssh2 Jun 23 15:42:52 hostname sshd[32447]: pam_unix(sshd:session): session opened for user stefanos by (uid=0) Jun 23 15:42:52 hostname sshd[32572]: subsystem […]
按照手册,我在FreeBSD-8.2上设置了一个监牢。 设置完成之后,我将这些文件rc.conf,/ etc / passwd从基地拷贝到监狱。 这就是我所做的: jexec id passwd(更改jail root密码) jexec id adduser(我添加一个用户作为非根) 为什么我不能通过SSHlogin监狱? 但我可以用“jexec idlogin”login? 我的意思是我可以连接到监狱,但它无法validation? 为什么当我进入监狱时,我不能执行像rehash / ping / ps这样的命令? 我还需要从底部复制哪些文件?
我已经Debian挤压运行和设置一个chootot环境(/监狱)debootstrap。 正如在教程中看到的,我安装了以下内容: proc on /jail/proc type proc (rw) devpts on /jail/dev/pts type devpts (rw) 在监狱里,我在不同的端口上运行了一个额外的sshd作为“父”系统。 到目前为止,所有的工作都很好,正如预期的那样 但是我只注意到,我能够从jail中更改主机IP地址。 这是一个正常的行为? 我想,根本的环境不能改变“真实”系统的东西吗? 但更改后的IP地址和运行 /etc/init.d/networking restart 系统只能通过新的IP地址到达。 请有人可以解释,为什么这样的行为呢? 有没有办法来防止这一点? 所以监狱里的一切都“留在监狱里” 非常感谢你提前。 卡斯帕
我在/ var空间不足,所以我把我的数据库目录移动到/ usr,并注意到性能显着下降。 另外我注意到,在任何Jailed系统下,性能都要慢很多,我假设它们也在/ usr上。 这是一个磁盘上的所有分区,所以它不是特定于任何高清性能或任何东西。 我的解决scheme选项是什么? 谢谢! 在/ var上输出tunefs tunefs: POSIX.1e ACLs: (-a) disabled tunefs: NFSv4 ACLs: (-N) disabled tunefs: MAC multilabel: (-l) disabled tunefs: soft updates: (-n) enabled tunefs: gjournal: (-J) disabled tunefs: maximum blocks per file in a cylinder group: (-e) 2048 tunefs: average file size: (-f) 16384 tunefs: average number of […]
jail的手册页说, allow.sysvipc使“系统V原语[在]主机和监狱环境中共享一个命名空间…”,因此“…在监狱内的进程将能够与… …在监狱之外的进程以及其他监狱里。“ 这有什么实际的安全影响? 最极端的解释意味着当使用这个选项时,在整个监狱基础设施内几乎没有有效的安全措施。 (如果进程可能干扰主机和其他监狱的其他进程并与之通信,那为什么还要打扰监狱呢?)