我并不是想质疑在大多数情况下将Apache安装在chroot-jail上的安全防范措施,但在我的情况下,我有疑问。 我们有一个托pipe单个应用程序的虚拟服务器 – 一个web服务。 本指南说我应该禁用SELinux ,这对我来说似乎不太安全? 在我们的应用程序被攻破之后,所有这些都是为了保护Centos的运行。 显然,这有点主观,但是在资源有限的小规模部署中,我们应该关注哪些更好的方法?
为服务器上唯一的服务设置一个Apache服务器的chroot jail是否有意义? 或者这是毫无意义的,因为如果服务器遭到黑客攻击,那么这个服务器在任何方面都会丢失
java运行在普通的chroot里面。 但是在一个grsec强化的chroot中,它抱怨没有足够的内存来构build虚拟机。 任何想法如何使它运行,因为我真的需要一个强化的chroot。 谢谢。
我已经在Ubuntu 14.04的LEMP堆栈上安装了VSFTPD。 对vsftpd.conf所做的唯一重大改变是: anonymous_enable=no local_enable=yes write_enable=yes chroot_local_user=yes allow_writeable_chroot=yes VSFTPD应该阻止根访问默认情况下,我已经检查了/etc/ftpusers文件和根目录在文件中,以拒绝访问,但是我能够ftp到服务器使用root帐户。 当我这样做时,我被带入并且入狱了/root文件夹。 我怎样才能禁用根login通过FTP? /etc/pam.d/vsftp内容: # Standard behaviour for ftpd(8). auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed # Note: vsftpd handles anonymous logins on its own. Do not enable pam_ftp.so. # Standard pam includes @include common-account @include common-session @include common-auth auth required pam_shells.so join userlist_enable=yes userlist_deny=yes userlist_file=/etc/vsftp.user_list 确实拒绝了root用户访问 […]
我正在运行一个Debian GNU / Linux 8.7的盒子,并将Postfix 2.11.3-1作为MTA。 突然之间,也就是说,没有改变MTA设置,邮件停止发送,并且在/var/log/mail.err显示以下错误: root@schroeder:~# tail /var/log/mail.err Mar 21 12:51:01 schroeder postfix/smtp[25421]: fatal: unknown service: smtp/tcp Mar 21 12:54:11 schroeder postfix/smtp[26397]: fatal: unknown service: smtp/tcp Mar 21 12:54:12 schroeder postfix/smtp[26398]: fatal: unknown service: smtp/tcp Mar 21 12:59:26 schroeder postfix/smtp[26553]: fatal: unknown service: smtp/tcp Mar 21 12:59:26 schroeder postfix/smtp[26554]: fatal: unknown service: smtp/tcp […]
我需要OpenSSH 4.8+,以便在Remi和EPEL存储库的Centos 5.4上设置一个干净的chroot SFTP。 是否有一个包含更新的OpenSSH的Centos存储库? 谢谢! 额外信息: 我想OpenSSH 4.8+为了不安装一个额外的库(RSSH),当OpenSSH已经可以处理它。 但是,如果你认为有一个更清洁,更容易维护安装一个chroot的SFTP服务器让我知道!
我目前提供虚拟主机在一个共享的虚拟主机VPS环境 – 没有chroot。 这显然是一个很大的安全问题,虽然我确信只有文件的所有者才能编辑自己的东西。 我正在接近不安和必要的专业精神,我想做这件事是正确的。 而不是简单地将文件复制到chroot环境中,我想我想从头开始重新构build一个新的VPS以摆脱旧的垃圾,确保我正确configuration了chroot等等。 我想知道是否有可能configurationyum来更新服务器上每个chroot jail中的所有内容。 Chroot监狱(和configuration它们)可能是我在操作Web服务器方面最不了解的东西之一。 我最初的想法是做这样的事情:有一个在根服务器上运行的MySQL实例来处理所有的数据库。 Postfix等…显然也会运行在根环境中。 然后,甚至不要在根服务器上运行apache,而是在每个用户的每个chroot监牢中分别使用它的实例。 Jails也会有单独的rssh实例(提供sftp / scp访问),但没有别的。 这听起来合理吗?当我进行这项研究和build设时,你们是否有任何build议?
我想validation在Linux发行版中的chroot和默认程序的安全性(比如Ubuntu)。 例如:我build立了监狱目录“A”。 从发行版的每个Linux二进制文件被放置在“A”,ACL是相同的。 例如,A / usr / bin包含所有可执行文件/ usr / bin,A / bin包含/ bin等的exe文件。 假设没有其他文件被写入。 一个不可信任的用户被放入chroot监狱“A”,并作为一些随机的uid。 问题:这个环境是否像一个不受欢迎的环境一样安全? 他是不可能获得root权限或者打开监狱的? (禁止Linux root的攻击) 例如,我最初担心现在用户可以写他自己的sudoers文件。 幸运的是,sudovalidationsudoers是由root拥有的。 每一个标准的setuid'd程序这个小心吗?
所以我正在build立一个与Apache,PHP,MySQL共享的主机,最大的问题是如何处理PHP,因为有一百万个选项可以安全地configuration它。 计划是: MySQL的Chroot(内置支持chroot) Chroot for Apache(mod_security) 每个用户执行他们的PHP脚本作为他们自己的用户(见下文) 设置open_basedir 禁用所有“邪恶的”php函数(allow_url_fopen,system,exec等等) 我看着suexec和suphp,但他们似乎很慢; http://blog.stuartherbert.com/php/2007/12/18/using-suexec-to-secure-a-shared-server/ http://blog.stuartherbert.com/php/2008/01/18/使用-suphp到安全-A-共享服务器/ 所以我看了更多,发现了一些其他的解决scheme: apache2-mpm-itk + mod_php(?) mod_fcgid + php-fpm mod_fastcgi + php-fpm 我尝试了一个简单的设置与mod_fastcgi + php-fpm,它似乎工作,运行正确的用户等,但目录旅游的保护仍然是open_basedir(?) 一个解决scheme可能是使用php-fpm的chroot选项,但是会导致很多其他问题 域名parsing器不起作用 发送邮件不起作用 提示?
人们可以像普通用户那样访问服务器(实际上被监禁),并且目前他们build议下载他们需要的任何python包, setup.py build它们,然后将它们的位置添加到sys.path 。 如果没有virutalenv,有没有办法使easy_install和pip安装软件包到一个目录(在$PYTHONPATH ) ~ ? 或者,你可以设置一个virtualenv对于一个给定的用户来说总是处于活动状态,无论是在shell中,还是repo到Apache和mod_wsgi? 总之,如何最好地解决安装网站包的权限问题?