我遇到了使用ChrootDirectory设置sftp的问题。 我已经在其他发行版本上做了相同的设置,但出于某种原因,我无法在Redhat AMI上使用它。 对我的sshd_config文件的更改是: Subsystem sftp internal-sftp Match Group ftponly PasswordAuthentication yes X11Forwarding no ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no 我拥有root用户拥有/ home / user的有关usere的家园。 与ftponly组中的用户连接后,我被放入/没有任何权限,无法做任何事情。 sftp bob@localhost Connecting to localhost… bob@localhost's password: sftp> pwd Remote working directory: / 我可以正常连接不在ftponly组中的用户。 openssh 5.3版本 我已经尝试了不同的权限,以及让用户拥有自己的主目录(给出一个写入失败:pipe道错误),到目前为止,似乎没有任何工作。 我确定这是一个权限错误,或者一样平凡的东西,但在这一点上我的眼睛已经开始釉了,任何帮助将不胜感激。 编辑: 詹姆斯和Madhatter,谢谢澄清。 我被chroot把我弄糊涂了……只是没有正确地思考。 我已经添加了适当的目录和权限来获得读取权限。 另外一个关键部分是对chrooted home进行写入访问: setsebool -P ssh_chroot_rw_homedirs on 为了获得写权限。 我想现在我已经全部了 […]
我们有一个Node应用程序作为C ++沙箱工具的前端,它使用gcc编译代码并将结果输出到浏览器。 例如 exec("gcc -o /tmp/test /tmp/test.cpp", function (error, stdout, stderr) { if(!stderr) { execFile('/tmp/test', function(error, stdout, stderr) {}); } }); 这工作正常。 然而,正如你所想象的那样,如果将它公诸于世 – 这是一个安全的噩梦 – 所以我想到了两个select来保护我的堆栈: 1)CHROOT监狱 – 但这本身不足以防止目录遍历/文件访问。 2)AppArmor? 所以我的问题是真的,我怎么能保护我的堆栈可能来自任何nasties: A)使用gcc编译未知的代码 B)执行编译的代码
我正在chroot下运行一个Debian wheezy,我注意到updatedb不起作用! 我认为这是因为在fstab中缺less条目。 我错了吗 ? 任何build议来解决这个问题?
我不仅要通过sftp传输文件,还要通过sshlogin。 这是我在sshd_config中更改的内容 Match Group ssh_jail ChrootDirectory /mnt/chroot 我已经挂载/ mnt / chroot / dev,/ mnt / chroot / dev / pts,/ mnt / chroot / proc,/ mnt / chroot / sys我还将bash复制到/ mnt / chroot / bin和一些lib文件到/ MNT / chroot / lib64下 但是我无法通过sshlogin。 以下是我在/ var / log / secure中find的内容 Accepted password for xxx from ::1 port 53069 […]
我的设置: 在生产中,每个Web应用程序分片使用一个虚拟服务器。 碎片在负载平衡器后面。 在后台,我们在单个虚拟服务器上运行Web应用程序+数据库。 后台仅受非身份validation用户的身份validation摘要保护。 Web应用程序直接暴露。 Web应用程序由Go net.http服务器提供服务。 运行代码只能由我们的团队部署。 我们没有向第三方用户公开他们的代码。 对于这两个设置,都有一个专门的,非特权的用户来运行这个应用程序。 运行Web应用程序时,是否值得使用chroot ? 我应该使用其他安全性调整吗?
作为我们提供给一些公司的一些服务的一部分,我们已经逐渐成为使用亚马逊服务的托pipe服务提供商。 所以我们在亚马逊上托pipe2个网站。 该网站的根文件是: /var/www/vhosts/{comp1.com, comp2.com} 。 所以公司1想要访问他们的文件,所以我使用www.sigerr.org上的这个教程(这是迄今为止我见过的最清楚最简单的方式)在vsftpd上创build了一个虚拟用户。 所以我得到它的工作没有问题,我可以连接等与chroot。 -comp1.com // same for comp2.com with chmod set to 555 and chown by root:root +htdocs +logs 现在来自公司1的客户说他不希望他的非IT人员篡改文件,所以他们只想访问htdocs/Images或htdocs/somefolder/Images (不记得)。 我有什么select? 我想有一个虚拟和本地用户的混合设置,本地用户的家将是/var/www/vhosts/comp1.com/htdocs/Images但我仍然不确定如何去做。 任何人都可以提出解决scheme 谢谢
我在debian 7上安装了一个ssh服务器,使用sftp连接。 我用这个configurationchrooted一些用户: Match Group sftpusers ChrootDirectory /sftp/%u ForceCommand internal-sftp 但是如果我想用ssh控制台中的这个chroot用户login,他们会被logging下来,但是自动closures连接。 在日志中我看到: Oct 17 13:39:32 xxxxxx sshd[31100]: Accepted password for yyyyyy from zzz.zzz.zzz.zzz port 7855 ssh2 Oct 17 13:39:32 xxxxxx[31100]: pam_unix(sshd:session): session opened for user yyyyyyyyyyyy by (uid=0) Oct 17 13:39:32 d00hyr-ea1 sshd[31100]: pam_unix(sshd:session): session closed for user yyyyyyyyyyyy 我如何才能根据sftp chroot用户,并将其用作ssh的普通用户?
我有以下设置: 有几个用户/ home / user1,/ home / user2等等。 另外还有一个用户/ home / sftp-all。 文件夹/ home / sftp-all / shared安装在每个其他用户/ home目录中,例如/ home / user1 / shared。 所有用户user1,user2,…,sftp-all都是名为“sharegroup”的组的成员。 现在的问题是,如果其中一个用户(user1,…)写入该文件夹,则新文件由用户及其主要组(例如user1:user1,..)拥有。 相反,我希望它由user1:sharegroup所有。 任何想法如何解决这个问题? 先谢谢你!
所以我有这个运行Debian的专用服务器。 我有一个激烈的业务需求(客户的要求),我也安装Gentoo作为一个Chroot。 我已经成功完成了这个任务,但是现在,我试图在主机Debian发行版的/etc/init.d运行时(例如,在启动时)从chroot里面调用Gentoo的/etc/init.d。 我当然希望这是可能的!
我试图用php-fpm和mysqlconfigurationchroot。 我设法解决,但是当我试图达到除index.php以外的文件(如CSS,PNG等),它不断给404。 但是,当我禁用chroot时,它工作%100正确。 我的目录结构是这样的; /var/www #my chroot directory /var/www/tmp #related pid and sock files /var/www/log #related log directory /var/www/public_html #wordpress directory 而我的nginxconfiguration是这样的; server { listen 80; ## listen for ipv4; this line is default and implied root /public_html; index index.php; server_name _; location / { index index.php; } if (!-e $request_filename) { rewrite ^.*$ /index.php […]