在这些链接中发现的build议适用于我: 如何为所有types的连接设置ssh的umask http://ubuntuforums.org/showthread.php?t=1107974#5 简介:使用PAM注入umask,在/etc/pam.d/sshd中使用以下行 session optional pam_umask.so umask=0027 但是,这只适用于取消有关文件/目录的宽容性。 即我发现它的工作,但只是为了进一步限制umask。 例如,设置umask为0077的作品。 但是,越来越宽容,如允许默认的组写入访问,不起作用。 似乎有一些潜在的默认umask,我不能重写。 我也尝试在下列地方更换umask: /etc/init.d/ssh =>除非升级到OpenSSH 5.4,否则不会工作(在最新的OpenSSH中,有一个额外的指令来设置umask的内部sftp选项) /etc/init/ssh.conf =>没有工作 /etc/login.defs =>不起作用 /etc/pam.d/sshd =>不起作用 / etc / profile =>不起作用。 configuration文件不是由SFTP命中的,因为它不是交互式shell / etc / ssh / sshd_config =>不起作用 没有工作。 我怎样才能允许更多的OpenSSH Chrooted SFTP的掩蔽? 要求: 仅适用于configuration (即不打补丁,不升级发行版) 适用于Ubuntu 10.04LTS 适用于OpenSSH_5.3p1 Debian-3ubuntu4,OpenSSL 0.9.8k 2009年3月25日
在RHEL 6.5上使用bind 9.8.2,运行chroot'd。 我有一个区域文件,其中包括其他文件(这是一个区域,在不同的数据中心有大量的服务器,每个数据中心有一个包含的文件)。 区域文件和包含的文件在 /var/named/chroot/var/named/zones/master/example.com /var/named/chroot/var/named/zones/master/lax01 包含文件在区域文件中相对于chroot'd目录被引用: $INCLUDE zones/master/lax01 当试图使用dnssec-signzone签署区域时,出现错误,因为它似乎无法加载包含的文件。 # cd /var/named/chroot/var/named/zones/master # dnssec-signzone -A -3 $(head -c 1000 /dev/random | sha1sum | cut -b 1-16) \ -N INCREMENT -o example.com -t example.com dnssec-signzone: error: dns_master_load: example.com:287: zones/master/lax01: file not found dnssec-signzone: fatal: failed loading zone from 'example.com': file not found 有没有更好的方法来引用INCLUDE指令的path? 我没有看到指示dnssec-signzone将chroot指令考虑在内的方法。 […]
我已经configuration我的HAProxy服务器运行在一个chroot监狱logging消息到syslog套接字。 我的问题是目前正在logging的唯一消息是haproxy启动时。 May 26 10:42:37 dev haproxy[13986]: Proxy my_listener started. 我创build了一个名为haproxy的用户和组,然后执行以下操作: su -l haproxy mkdir jail mkdir -m 2750 jail/dev chmod aw jail 从我的haproxyconfiguration相关的线是: global chroot /home/haproxy/jail daemon group haproxy node haproxy log /home/haproxy/jail/dev/log local0 defaults log global option tcplog syslogd正在使用-a /home/haproxy/jail/dev/log选项启动,并且-a /home/haproxy/jail/dev/log添加到了/etc/syslog.conf local0.* -/var/log/haproxy.log ls -la在监狱/ dev给 drwxrws— 2 haproxy haproxy 4096 May 26 […]
我想设置一个匿名的FTP服务器(能够上传文件)。 这是我的configuration文件: listen=YES anonymous_enable=YES anon_root=/var/www/ftp local_enable=YES write_enable=YESr. anon_upload_enable=YES anon_mkdir_write_enable=YES xferlog_enable=YES connect_from_port_20=YES chroot_local_user=YES dirmessage_enable=YES use_localtime=YES secure_chroot_dir=/var/run/vsftpd/empty rsa_cert_file=/etc/ssl/private/vsftpd.pem pam_service_name=vsftpd 但是,当我尝试连接它: kan@kan:~$ ftp yxxxng.bej Connected to yxxx. 220 (vsFTPd 2.3.5) Name (yxxxg.bej:kan): anonymous 331 Please specify the password. Password: 500 OOPS: vsftpd: refusing to run with writable root inside chroot() Login failed Can anyone help ?
我想设置一个公共存储服务器,允许sftp和rsync (通过ssh)。 我已经与chroot jail和rssh一起工作了。 当用户使用sftp连接到服务器时,他可以读取chroot中的所有文件(如/ lib和/ bin)。 同样与rsync ( rsync –list-only user@server:/ )。 我想有一个设置,用户只能查看和不离开他的主目录。 另一个要求是我不想为每个用户设置一个chroot环境。 我已经尝试了sshd_config的chrootdirectory和forcecommand语句,这对sftp非常有效,但是不允许任何rsync 。
我有一个服务器(在虚拟机pipe理程序上运行的SLES 11,如果有的话)与一个tmpfs分区的MySQL临时表,我运行mysql chrooted。 df -h给我奇怪的outpupt: [email protected]:~# df -h /usr/chroot/tmp/ Filesystem Size Used Avail Use% Mounted on tmpfs 77G 66G 7.9G 90% /usr/chroot/tmp 虽然mount是这样的: [email protected]:~# mount | grep tmpfs tmpfs on /usr/chroot/tmp type tmpfs (rw,size=512m) 数据库运行良好,我没有看到日志中的任何与fs相关的错误。 我试图阻止守护进程并挂载/卸载FS,但没有帮助。 我不知道这是什么意思,怎么解决这样的问题? 它不会影响任何东西,但它有点神秘,我希望它去。
我已经尽我所能按照这些说明创build一个chroot shell。 但是每当我尝试通过sshlogin到新的chroot用户时,连接get都会被终止。 我开始我的SSHterminal,通过chrooteduserlogin,然后一旦我login它退出… 我是很多Linux世界的新手,所以我不知道是什么原因导致了这个问题。 编辑 以下是chrooteduser尝试login的日志: Apr 1 06:55:13 li244-40 sshd[2453]: Accepted password for testroo from 114.77.115.211 port 57658 ssh2 Apr 1 06:55:13 li244-40 sshd[2453]: pam_env(sshd:setcred): Unable to open env file: /etc/default/locale: No such file or directory Apr 1 06:55:13 li244-40 sshd[2453]: pam_unix(sshd:session): session opened for user testroo by (uid=0) Apr 1 06:55:13 li244-40 […]
只是为了好奇。 一个示例机器:一个专用的amd64服务器,最后一个稳定版本的FreeBSD和UFS用于分区。 每个空监狱有多less资源消耗FreeBSD? 我的意思是,我不想知道监狱服务器的资源消耗是多less,只是每个监狱的开销。 我对CPU,内存和IO特别感兴趣。 对于一些监狱的开销可以忽略不计,但想象一个有100个监狱的服务器。 更新 :我发现了一个与这个问题相关的惊人的博客文章http://ivoras.sharanet.org/blog/tree/2009-10-20.the-night-of-1000-jails.html
用户通过ssh连接。 用户也被chroot-ed到他们的主目录。 目标是安全。 由于用户是chroot-ed,当他们login/ bin / bash没有find。 很明显,用户需要shell命令。 Shell访问可以通过 1)symlink / bin / bash到/ home / username 2) 通过/ etc / fstab挂载–bind – 首选项,因为服务器经常重启。 这两个选项在安全性方面有差异吗? 还是有第三个更安全的select?
我需要chroot所有本地用户到他们的主目录,但一个用户应该有权访问所有的用户目录。 如果我把admin_user放在chroot_list_file他可以访问整个文件系统。 我想限制他的访问只能到/home ,但是当他login到ftp服务器时,他的默认目录应该是/home/admin_user 。 怎么能做到这一点? 我有vsftpd安装以下configuration: # /etc/vsftpd/vsftpd.conf anonymous_enable=NO local_enable=YES write_enable=YES local_umask=002 dirmessage_enable=YES xferlog_enable=YES dual_log_enable=YES connect_from_port_20=YES xferlog_std_format=YES chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list listen=YES pam_service_name=vsftpd userlist_enable=YES tcp_wrappers=YES max_clients=0 max_per_ip=0 # /etc/vsftpd/chroot_list admin_user