我想用OpenSSH的internal-sftp,chroot和Match指令来实现以下function: 属于sftpuser组的用户应该具有对/ srv / sftp / {username}的读写权限(或者类似的,某些技巧可以为chroot用户提供一个更好看的目录结构) 属于组sftpadmin的用户应具有对/ srv / sftp和子目录(即所有其他用户目录)的读写权限。 属于sftpadmin或sftpuser的所有用户都是sftp专用用户。 所以不用担心炮弹等 / srv / sftp需要由sftpadmin用户拥有,才能被chrooted到该文件夹。 / srv / sftp / {username}也需要由root拥有才能将sftpuser用户chroot到那个文件夹。 我应该如何最好地授予sftpadmin用户访问根拥有/ srv / sftp / {用户名}目录? 我可以在根权限之上使用ACL吗?
我和Dovecot一起运行Postfix,在FreeBSD jail中运行几个月。 当我运行SMTP和SMTPD守护进程chroot时,是否有显着的安全性增益?
在一个文件被成功地上传(一个chroot)的SFTP后,我将如何运行一个脚本? 我有这个工作在使用PureFTP的标准FTP连接 http://linux.die.net/man/8/pure-uploadscript 我正在运行Debian Squeeze
服务器:Ubuntu 12.04 LTS 我正在使用openSSH并创build了一个名为bob的SFTP用户,他们属于sftponly组。 我有chrooted bob到他的主目录是/usr/share/nginx/www/bob/ 。 鲍勃是能够SFTP到服务器和视图是主目录,但他无法编辑他的目录中的文件。 我已经运行chown -R bob /usr/share/nginx/www/bob/*使bob成为他的文件的所有者,但他仍然无法编辑它们。 为什么会这样?
我正在运行Ubuntu,PHP5-FPM,MySQL和Nginx 我刚刚用jailkit安装了一个chroot监狱。 现在我需要解决如何设置我的PHP和MySQL在监狱工作。 谷歌search没有给我太多,jailkit网站没有这方面的文件。 (这可能很简单,但我对这个领域还是比较陌生的)
我试图使用rssh严格监禁用户的/ home / user / public_html dirctories。 我得到它的工作,一个帐户可以在testing服务器上SFTP成功的系统,但一旦我login为该帐户,我注意到,我可以改变目录到任何地方我希望和查看文件的内容。 我可能无法编辑或转移到这些目录,但我认为能够监禁他们的全部目的是防止这样的事情? SSHD使用子系统sftp internal-sftp设置RSSH具有用户指定为只能使用scp和sftp用户的帐户使用/ usr / bin / rssh作为shell和/ home / user / public_html用户的主目录是root:用户所有者:小组 我注意到,虽然他们可以查看内容和目录,他们可以进入唯一的文件都是世界可读的,这是有道理的,但为什么他们允许离开他们的目录呢? 请不要只说我自己的问题。 目的是find防止这种情况的最佳实践解决scheme。 期望的结果是,它们限制了任何不属于它们的目录的能力。 我在这里错过了什么? 这里是rssh.conf文件的内容; logfacility = LOG_USER allowscp allowsftp #allowcvs #allowrdist #allowrsync #allowsvnserve # set the default umask umask = 022 user=wwwtest1:077:110000:/home/wwwtest1/public_html 这里是sshd_config文件的内容; # Package generated configuration file # See the sshd_config(5) […]
有没有一种方法来定义木偶清单内的硬链接? 似乎文件types只能定义符号链接,但我需要它是硬链接,以使我的一些chrooted应用程序工作。 例如,我需要硬链接 /etc/hosts -> $chroot/etc/hosts /etc/resolvf.com -> $chroot/etc/resolv.conf 等等。 什么可以是最简单的方法来存档呢? 更新:谢谢,我结束了以下定义: define hardlinkdir(source=$name, target) { exec { "hardlinkdir-$name": command => "cp -r –link $target $source", path => "/usr/bin:/bin", creates => $source; } } define hardlink(source=$name, target) { exec { "hardlink-$name": command => "ln –force $target $source", path => "/usr/bin:/bin", unless => "test $source -ef […]
首先我是一个Linux新手,所以请不要承担太多的知识。 我正在使用CentOS 5.8(final)并使用OpenSSH version 5.8p1。 我做了一个用户playwithbits和我试图chroot他们到目录home/nginx/domains/playwithbits/public 我在我的sshd_config文件中使用下面的match语句: Match group web-root-locked ChrootDirectory /home/nginx/domains/%u/public X11Forwarding no AllowTcpForwarding no ForceCommand /usr/libexec/openssh/sftp-server # id playwithbits返回: uid=504(playwithbits) gid=504(playwithbits) groups=504(playwithbits),507(web-root-locked) 我已将用户的主目录更改为: home/nginx/domains/playwithbits/public 现在,当我试图与这个用户sftp,我立即得到消息: connection closed 有谁知道我在做什么错? 编辑:从@Dennis Williamson的build议我已连接在debugging模式(我认为…纠正我,如果我错了)。 我使用chmod将所有文件的权限recursion地设置为700,从而取得了一些进展。现在,当我尝试login时(仍然连接被拒绝),我得到以下消息: Connection from [My ip address] port 38737 debug1: Client protocol version 2.0; client software version OpenSSH_5.6 debug1: match: OpenSSH_5.6 pat OpenSSH* debug1: […]
我使用PHP 5.3.9和nginx设置了一个新的服务器,所以我使用php-fpm SAPI选项编译了PHP。 本身在nginx中使用以下服务器条目效果很好: server { listen 80; server_name domain.com www.domain.com; root /var/www/clients/domain.com/www/public; index index.php; log_format gzip '$remote_addr – $remote_user [$time_local] "$request" $status $bytes_sent "$http_referer" "$http_user_agent" "$gzip_ratio"'; access_log /var/www/clients/domain.com/logs/www-access.log; error_log /var/www/clients/domain.com/logs/www-error.log error; location ~\.php$ { fastcgi_pass 127.0.0.1:9001; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME /var/www/clients/domain.com/www/public$fastcgi_script_name; fastcgi_param PATH_INFO $fastcgi_script_name; include /etc/nginx/fastcgi_params; } } 它服务器我的PHP文件就好了。 为了增加安全性,我想chroot我的FPM实例,所以我在这个FPM实例的conf文件中添加了以下几行: # FPM config chroot […]
嗨,大家好,我已经用Nginx + PHP5-FPMconfiguration了Ubuntunetworking服务器。 我创build了一个chroot环境(使用jailkit),让我的开发人员可以开发他们的testing应用程序。 Chroot监狱:/ home / jail Nginx和PHP5-FPM在chroot之外运行,但被configuration为与chroot环境中的网站一起运行。 到目前为止,Nginx和PHP5-FPM提供的文件没有问题,除了以下内容:当试图连接到MySQL,我们收到此错误: SQLSTATE [HY000] [2002]无法通过套接字连接到本地MySQL服务器' /var/run/mysqld/mysqld.sock” 现在,我认为这个问题是由于chroot环境之外的非chrooted php.ini引用了mysqld.sock(实际上它使用的是MySQL默认设置)。 我的问题是,我如何configurationPHP通过回送或类似访问MySQL? (发现作为一个谷歌结果的build议,但没有任何指示) 或者如果我错过了其他一些明显的设置,让我知道。 如果有一个选项可以创build一个硬链接(即使重启mysql也可以使用),那也是很方便的。