我已阅读并遵循了几个使用chroot设置sftp的初始目录的问题和教程 。 我拥有chroot目录的正确权限和所有权。 我可以让新用户login,但是他们无法将文件传输到应该拥有的文件夹。 例 我想chroot sftpbackups组的成员。 在我的sshd_config文件中,我有以下。 Subsystem sftp internal-sftp Match Group sftpbackups ChrootDirectory %h X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp 首先,我创build了一个未添加到sftpbackups组中的用户testuser 。 主目录是/home/testuser/ /home/testuser/backups/ ,我想通过sftp使用子目录/home/testuser/backups/ 。 我可以使用sftp将文件传输到我的backups文件夹,例如 sftp> ls -l drwxrwxrwx 2 testuser testuser 4096 Sep 25 00:09 backups sftp> put a.txt backups Uploading a.txt to /home/testuser/backups/a.txt a.txt 当我将testuser添加到sftpbackups组时,问题出现了。 sftp> ls -l drwxrwxrwx […]
我在我的debian盒子上安装了proftpd,但是在configuration上遇到了一些麻烦。 在我的proftpd.conf中添加了; DefaultRoot ~ !ftp_special 这工作正常,因为除了ftp-special成员之外的所有用户都无法在其主文件夹之外导航。 但是,我希望是ftp-special成员的用户在login到ftp服务器时进入一个特殊的主文件夹,但同时我希望他们能够浏览整个服务器。 现在,如果是ftp-special成员的用户login,他的入口点是根(/)。 提前致谢。
我被一个我认识的系统pipe理员build议,在一个chroot监狱里运行Apache,以提高安全性。 我有以下问题: 这是可取的吗(即有任何我需要知道的陷阱)? 在chroot jail中运行Apache是否会影响性能和可伸缩性等问题? 他还build议我在独立的chroot监狱里运行我的数据库(mySQL和PostgreSQL)。 这是经常在生产系统中完成的吗? [编辑] 忘了说,服务器在Ubuntu 8.04 LTS上运行
系统pipe理员build议我在chroot监狱里运行Apache,以防止攻击者控制服务器。 所以我的问题是: 什么是在RHEL / CentOS 5中对Apache / 2.2.3进行chroot的最好的方法是什么?我只使用Apache提供的默认模块,比如mod_php和mod_security。 我听说过mod_security SecChrootDir,但我不知道它是否适合我的configuration,它说,它只build议在文档中的静态文件服务。 谢谢!
我试图在运行Debian 5的服务器上设置jailkit。我为他创build了一个新的ssh用户(bob)和一个chroot目录(/ var / www / bob)。 我用下面的命令给了chroot extshellplusnet和限制shell选项: jk_init -c /etc/jailkit/jk_init.ini -j /var/www/bob/ extshellplusnet jk_init -c /etc/jailkit/jk_init.ini -j /var/www/bob/ limitedshell 然后我监禁他: jk_jailuser -m -j /var/www/bob bob 当我试图跳进ssh,它连接,我得到的横幅,然后断开连接。 我的auth.log如下所示: Aug 25 05:04:36 server sshd[29885]: Accepted password for bob from 123.45.6.7 port 50624 ssh2 Aug 25 05:04:36 server sshd[29885]: pam_unix(sshd:session): session opened for user bob by […]
我有一些LXC容器(ubuntu模板),它们都有自己独立的APTcaching。 /var/lib/lxc/*/rootfs/var/cache/apt/archives/ 我想把这些链接到主机的APTcaching在: /var/cache/apt/archives 从我记忆中,chroot监狱的符号是一个巨大的禁忌,所以我想知道其他干净的替代品会是什么。 一个解决scheme,我想在主机上做一个cron工作来与客户容器同步,但我想知道是否有任何方法可以处理这个,而不必安排同步? 一个符号链接将会非常方便,但这将是一个巨大的安全漏洞,对吧? 多谢你们。
我使用ldap进行远程用户身份validation,我基本上需要弄清楚如何: 一个。 从机器a通过nfs chroot机器b上的用户(如果没有安装更多的目录,似乎不可能) 要么 – – – – 湾 将用户添加到计算机a上的ldap数据库之后,强制脚本在用户login期间在计算机b上执行,这将在用户首次login时自动根据用户chroot进行操作。 我想我的第二个select可能是最好的select,并且正在考虑使用pam_exec.so来调用脚本。 但是,我对这种方法有一些担忧。 首先,我不确定将要运行的脚本是否具有执行chroot所需的root权限。 其次,我不确定pam_exec是否在login过程中足够早地成为一个有效的选项。 最后,我需要确保代码在pam.d / ssh和pam.d / su中都起作用,认为这是一个有效的解决scheme。 我的担心是否有效?看起来这是一个很好的解决scheme吗? 还是有更好的方法来解决这个问题。
我需要比这更好的资源,或者如何在Debian系统上使用chroot来保护Apache2。 看来大多数文章涉及Apache1。 我试图跟随他们,并适应Apache2,但它只有不好的结果。
我在不同网站的/ var / www中有多个文件夹 – Apache使用基于名称的虚拟主机(Ubuntu Server)。 假设我想允许某人访问他们的/ var / www / user目录,但是不能从这个目录中cd出来并且能够遍历系统。 我在这里find了有关OpenSSH Jail的信息: http : //antitese.org/sshjail/ 有没有人使用/执行这样的事情? 除了基本的权限来控制这个,还有更好的方法吗?
我正在用C语言编写一个社交网站,并用Nginx来提供。 我该如何做到这一点,以便通过身份validation的用户可以访问他们自己的目录 – 只有用户特定的index.html所在的目录。 我不是问如何用特定于用户的指令填充index.html,而是如何将它们locking到自己的目录中