我的networking中有以下设置: Internet <–> Bastion <–> Local Network 我有几个用户,每个用户被分配到一台特定的机器。 或换句话说:每个用户必须只能访问其中的一台服务器。 例如:用户1 – >机器1,用户2 – >机器2等等。 这些用户将从我的networking外部连接,我已经考虑了很多select如何通过我的堡垒主机转发他们的连接到我的networking。 最终我select了Match Blocks和forcecommand。 所以,我在堡垒上的/ etc / ssh / sshd_config如下所示: Match User User1 ForceCommand ssh User1@Machine1 $SSH_ORIGINAL_COMMAND User1连接到自动与Machine1build立连接的堡垒主机。 据我了解ForceCommand,User1将不会有任何真正的访问堡垒主机,因为他的所有操作将由匹配块首先处理,因此重新路由到Machine1。 但是这是真的吗? 这已经足够成为一个安全的设置? 无论如何,用户在Machine1上被监禁,所以他不会有很多的可能性。
我已经使用Mac 25年了,自从OS X 10.0开始使用“UNIX”,但是我从来没有真正地想过chroot,也没有真正需要或想要… 这是一个简单的问题,但是…在什么情况下会select在Mac上使用“chroot”? 它确实是BSD时代的一个内置函数,但是我从来没有听说过它正在被使用……是另一个命令行或系统级工具的function性部分,是否可以避免需要chroot? 如果是这样,什么是等效function? 如果没有,为什么它似乎永远不会被使用,引用或需要?
我阅读了这个教程 – https://help.ubuntu.com/community/BasicChroot–我的理解是,chroot是改变/的过程,而创build的新的受限环境是“监狱”。 但有人说我错了,chroot和jail是两个完全不同的东西。 有人能用简单的术语来解释我的区别吗?
令人沮丧的是,SFTP用户突然停止连接到我的Amazon Linux服务器。 / var / log / secure显示以下错误: sshd[7291]: fatal: safely_chroot: stat("/chroot/uhleeka"): Permission denied [postauth] 在/ var /日志/安全: ==> /var/log/secure <== Nov 21 23:49:23 amzl-lamp sshd[7291]: Accepted password for uhleeka from 172.31.0.254 port 47170 ssh2 Nov 21 23:49:24 amzl-lamp sshd[7291]: pam_unix(sshd:session): session opened for user uhleeka by (uid=0) Nov 21 23:49:24 amzl-lamp sshd[7291]: fatal: safely_chroot: […]
我正在阅读关于维基百科http://en.wikipedia.org/wiki/Setuid上的 setuid的描述 我无法理解chroot如何与维基百科的下一段中提到的setuid相关 setuid可执行文件的存在解释了为什么Unix上的非root用户不能使用chroot系统调用。 有关更多详细信息,请参阅chroot的局限性。
我设置启用了chroot的php-fpm。 现在我看到有两种select,我想知道确切的区别是什么。 该设置有: chroot = /var/www/domains/domain.tld/ ; Chdir to this directory at the start. This value must be an absolute path. ; Default Value: current directory or / when chroot chdir = /docroot/ 为什么在这里有两个不同的位置,哪个path是PHP允许访问。 php网站可以访问/var/www/domains/domain.tld/ ,还是只能访问docroot目录下的文件。 === 也许对我有一些具体的build议。 我想有一个像这样的设置: webroot位置: /var/www/ domain.com/ |—conf/ | |–nginx.conf | |–php-fpm.conf | |—ssl/ |—logs/ |—session/ |—domains/ |—www/ |—app/ |—dev/ […]
一个Ubuntu服务器托pipe3个应用程序全部在不同的域。 每个应用程序都有自己的开发者 应用程序开发人员属于Linux“sftp”组。 chroot允许每个应用程序开发者的密码sftp访问。 /home/app1/prod /home/app2/prod /home/app3/prod 在sshd_config Match Group sftp PasswordAuthentication yes ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no 我们担心的是一个应用程序中的编程漏洞会导致其他两个应用程序出现问题。 我们应该使用lxc容器而不是chroot吗? 为什么? lxc容器的更改对于应用程序开发人员是否透明?
我已经玩了几年CentOS盒子了。 所以我对terminal很舒服。 不过,我读了很多博客文章,声称chroot不安全,这些post的数量让人害怕。 这是真的吗? 为什么? 我使用chroot在特定的上下文中locking仅限SFTP的用户,而没有任何shell或命令。 那么真的,这有什么安全问题呢? 问题是从StackOverflowstream放。
我听说需要一直chroot BIND。 很公平。 但是其他的程序呢? 什么是“规则”(无论是个人还是被广泛接受/build立)来决定哪些节目应该入狱? -M
有没有一种工具可以将RPM .spec的依赖项安装到一个孤立的环境中? 我不会在系统上全局安装这样的依赖关系,而且我也无法这样做,因为我没有root权限。 原因 我想构build一个依赖于较新版本的B (不能在系统上全局安装)的包A. 我喜欢构build更新版本的B ,让构build工具安装B – 将其-devel到一个孤立的环境中,为构buildA提供所有必需的文件。 解决scheme 有没有什么工具可以做到这一点? 如果不是的话,当试图用chroot来做这件事的时候我该怎么处理呢? 这会是一个坏习惯吗?