我刚刚设置了我的SFTP服务器,当我从我的第一个用户帐户使用它时,它工作正常。 我想添加一个我们称之为“magnarp”的用户。 起初,我在sshd_config中这样做了: Subsystem sftp internal-sftp Match group sftponly ChrootDirectory /home/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp 这工作得很好,用户magnarp进入他的主目录。 然后我试图添加一个符号链接。 home$ sudo ln -s /home/DUMP/High\ Defenition/ /home/magnarp/"High Defenition" 符号链接通过SSH工作正常,但不是通过SFTP。 所以现在我想要做的就是把Chroot组合成sftponly到/ home / DUMP,我这样做: Match group sftponly ChrootDirectory /home/DUMP X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp DUMP文件夹的权限如下。 drwxrwxrwx 5 root root 4096 aug 18 02:25 DUMP 这是错误代码: Aug […]
我正在尝试build立一个备份服务器。 我想chroot每个用户(客户端)到其主目录,只允许它使用sftp和rsync 。 我很快发现,我并不是唯一一个试图做这样的事情,我发现这个指南,并遵循它。 所以现在我只有使用sftp的chroot用户。 然后我发现rsync需要ssh在其他机器上产生,而sftp是不够的。 给每个用户一个sshlogin是我想要避免的东西。 谁能想到一些可能的解决scheme? 谢谢, 标记
我正在玩绑定,并开始想知道为什么这个软件是在例如在chroot中运行的CentOS。 不要误解我,我知道绑定是什么,chroot(监狱)是什么。 但我的主要想法是绑定运行没有chroot非常不安全? 如果没有监狱(更多的是任何其他服务或软件)设置它是否真的有害。 在系统中有许多没有chroot的进程运行,我认为妥协的任何人都是非常dungerous,但是什么让命名更加dungerous然后其他软件没有chroot运行?
非root用户可以在Ubuntu上运行chroot进程吗?
我正在运行Debian stable,我正在寻找为我的'sftponly'组中的用户build立以下环境: 获刑 可以用SFTP传输 可以和SCP转移 不能用SSH交互式login 从我的实验和研究来看,sshd_config中的以下节段似乎让我有90% Match group sftponly ChrootDirectory /sftp/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp 这给我监狱的SFTP和没有SSH,这是很好的。 但是它也禁用了SCP,这是不理想的,因为相当多的客户端是传统的,使用SCP而不是SFTP的脚本进程(我们正在replace的服务器支持这两种协议),并且由于这些客户端并不在我们的控制之下修改,完全禁用SCP可能不切实际。 这个configuration可以禁用SCP,因为传入的SCP连接会导致sshd像用户那样通过用户的loginshell产生一个“scp”进程。 似乎SFTP通常也是如此,如果不是特殊的“internal-sftp”处理程序。 所以,我想我的问题是:是否有一种方法可以达到与“internal-sftp”相同的效果,但对于SCP而言,却不使用像scponly和rssh这样的第三方工具? “internal-sftp”的真正好处在于它不需要build立一个支持文件的监狱,也不需要处理潜在可利用的第三方setuid二进制文件(特别是具有漏洞利用历史的rssh)。
我是一个chroot新手,试图做一个简单的chroot监狱,但一次又一次地反对同样的问题我的头…任何帮助将大规模赞赏 我创build了一个我想用作jail的/usr/chroot目录,并在其下创build子目录,并将/bin/bash的依赖关系复制到其中: [root@WIG001-001 ~]# cd /usr/chroot/ [root@WIG001-001 chroot]# ls [root@WIG001-001 chroot]# mkdir bin etc lib var home [root@WIG001-001 chroot]# ldd /bin/bash linux-vdso.so.1 => (0x00007fff99dba000) libtinfo.so.5 => /lib64/libtinfo.so.5 (0x00000037a2000000) libdl.so.2 => /lib64/libdl.so.2 (0x000000379fc00000) libc.so.6 => /lib64/libc.so.6 (0x000000379f800000) /lib64/ld-linux-x86-64.so.2 (0x000000379f400000) [root@WIG001-001 chroot]# cp /lib64/libtinfo.so.5 /usr/chroot/lib/ [root@WIG001-001 chroot]# cp /lib64/libdl.so.2 /udr/csr/chroot/lib/ [root@WIG001-001 chroot]# cp /lib64/libc.so.6 /usr/chroot/lib/ [root@WIG001-001 chroot]# […]
在一个* nix系统上,我可以使用一个chroot来隔离来自对方和系统其余部分的两个进程。 windows下有没有类似的安全系统? 或者有没有办法阻止两个进程读/写对方文件?
我试图设置SFTP,以便一些可信任的人可以访问/编辑/创build一些文件。 我有一个用户进入他们的主目录(/ home / name),但遇到了问题。 我希望他们也能够访问VPS的其他部分,因为它也是一个游戏服务器,虚拟主机等,我希望他们能够完全控制在他们的监狱目录之外的文件。 我试图做一个符号链接(ln -s)到所需的目录,但它不能正常工作。 我尝试(cp -rl)到我想要访问的文件,它工作 – 他们可以编辑他们的目录中的文件,它改变了存储在监狱之外的文件。 但他们不能创build新的文件(他们可以但不会更新监狱之外)。 我知道我可能不是这样做的“正确的方式”,但我能做些什么来做我想要的?
我想为大多数(不是全部)用户通过SSHlogin而设置一个chroot jail。 我听说有可能与最新版本的openssh,但我还没有能够find如何做到这一点。 如何所有人都在讨论修补旧版本,并且修补程序不再可用。 我正在运行debian etch。
我创build了用户MY_USER。 将他的主目录设置为/ var / www / RESTRICTED_DIR,这是他应该限制的path。 然后我编辑sshd_config并设置: Match user MY_USER ChrootDirectory /var/www/RESTRICTED_DIR 然后我重新启动了ssh。 使MY_USER所有者(和组所有者)RESTRICTED_DIR,并将其改为755.我得到 Accepted password for MY_USER session opened for user MY_USER by (uid=0) fatal: bad ownership or modes for chroot directory component "/var/www/RESTRICTED_DIR" pam_unix(sshd:session): session closed for user MY_USER 如果我从sshd_config中删除了2行,用户可以成功login。 当然,它可以访问所有的服务器。 有什么问题? 我甚至尝试将RESTRICTED_DIR改为root(当我读某个地方某人解决了同样的问题时)。 没有运气..