我有一个FreeBSD 9.0服务器。 它有几个监狱,但他们都有这个相同的问题。 他们不能启动与外界的联系。 他们彼此沟通,主持人很好。 相关的rc.conf设置: firewall_enable="YES" # IPFW firewall_type="/etc/ipfw.rules" # Rule script for IPFW natd_enable="YES" # NAT for Internet Routing natd_interface="wan0" # NAT Card natd_flags="-f /etc/natd.conf -dynamic" # NAT Conf ifconfig_lo1_name="jail1" ifconfig_jail1="inet 192.168.1.101/32" jail_asdf_rootdir="/jails/asdf" jail_asdf_hostname="asdf.example.net" jail_asdf_ip="192.168.1.101" jail_asdf_devfs_enable="YES" 从sysctl.conf security.jail.allow_raw_sockets=1 来自ipfw.rules # XXX 00050 divert natd ip4 from any to any via wan0 add 00060 […]
FreeBSD下的ZFS允许将文件系统分配给jail,这样jail中具有相应权限的帐户就可以访问文件系统,创build新的从属文件系统等等。 至less在8-STABLE中,这些function并没有集成到现有的/etc/rc.d/jail脚本中。 基本过程如下所示: sysctl -w security.jail.enforce_statfs=0 sysctl -w security.jail.mount_allowed=1 zfs set jailed=on <filesystem> zfs jail <jid> <filesystem> 还需要在jail中暴露zfs设备节点。 与此同时,似乎有很多工具(ezjail,jailer,warden,以及通常是/usr/ports/sysutils/*jail* )声称更简单/更好/更强大/等等,但大多数其中似乎只是轻微维护,而不是标准的监狱剧本胜利。 我想避免重新发明轮子。 那里有一个与ZFS集成的监狱pipe理工具吗? 我正在寻找一些能够在启动jail时设置必要的devfs规则,sysctl设置和zfs属性的东西……理想情况下,允许基于名称的引用对jails进行访问,派对工具悲惨地从股票监狱脚本丢失。
我们在FreeBSD 10中运行一些监狱,并决定停止使用FreeBSD服务器,并将所有的监狱迁移到Linux环境Red Hat 6或7。 有没有直接的方式将BSD jail移植到linux–作为可以通过docker运行的容器 或者任何其他方式将BSD jails转换为容器,并再次通过docker进行拉/运行。 任何其他的方式呢? 我不确定这是否实际上是可能的,因为我试图读谷歌,但没有遇到过这样的事情。
我可以访问一个以前设置了一些监狱的FreeBSD盒子。 其中一个监狱是一个SQL服务器,并没有启用ssh。 我如何才能从主机上访问该监狱的shell? (我有它的根权。)
我正在运行Debian stable,我正在寻找为我的'sftponly'组中的用户build立以下环境: 获刑 可以用SFTP传输 可以和SCP转移 不能用SSH交互式login 从我的实验和研究来看,sshd_config中的以下节段似乎让我有90% Match group sftponly ChrootDirectory /sftp/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp 这给我监狱的SFTP和没有SSH,这是很好的。 但是它也禁用了SCP,这是不理想的,因为相当多的客户端是传统的,使用SCP而不是SFTP的脚本进程(我们正在replace的服务器支持这两种协议),并且由于这些客户端并不在我们的控制之下修改,完全禁用SCP可能不切实际。 这个configuration可以禁用SCP,因为传入的SCP连接会导致sshd像用户那样通过用户的loginshell产生一个“scp”进程。 似乎SFTP通常也是如此,如果不是特殊的“internal-sftp”处理程序。 所以,我想我的问题是:是否有一种方法可以达到与“internal-sftp”相同的效果,但对于SCP而言,却不使用像scponly和rssh这样的第三方工具? “internal-sftp”的真正好处在于它不需要build立一个支持文件的监狱,也不需要处理潜在可利用的第三方setuid二进制文件(特别是具有漏洞利用历史的rssh)。
jail.local文件是作为jail.conf的替代还是替代 jail.conf? 当我从教程中了解到Fail2Ban的时候 ,他们中的大多数通常会说要将jail.conf复制到jail.local中,并在那里进行编辑,其中一些人说要创build一个新的jail.local文件,并提供一些设置来复制并粘贴。 但是他们没有解决的是jail.local如何与jail.conf配合使用。 这是两种情况: 覆盖:如果jail.local充当jail.conf文件的覆盖,那么我只需要将我想覆盖的必要configuration添加到jail.conf中给定的默认configuration。 在这种情况下,我不需要添加SSHconfiguration等,因为它已经包含在jail.conf。 replace:如果jail.local在jail.local存在时变得无效,那么我需要在jail.local中添加所有的规则,然后编辑我想修改的规则。 当jail.local存在时,你能确认jail.conf发生了什么吗? 如果jail.local在jail.conf文件中的作用只是一个覆盖,那么我只需要添加几行我想添加的规则就更容易了,这也使得维护和可读性变得容易。 什么是最好的办法呢?