在OpenVZ guest虚拟机中运行,不可能像讨论的那样使用AppArmor ,所以我试图configurationBIND9在chroot中运行。 以下的文档 ,我挣扎着,直到我发现在Ubuntu 15.04和16.04不尊重/etc/default/bind9 。 然后我通过$ sudo systemctl edit bind9进行了修改,并在我的日志中获得了以下内容: starting BIND 9.10.3-P4-Ubuntu <id:ebd72b3> -f -t /var/named/run-root -u bind 到现在为止还挺好。 直到下面出现在日志中: named[3398]: ENGINE_by_id failed (crypto failure) named[3398]: error:25070067:DSO support routines:DSO_load:could not load the shared library:dso_lib.c:233: named[3398]: error:260B6084:engine routines:DYNAMIC_LOAD:dso not found:eng_dyn.c:467: named[3398]: error:2606A074:engine routines:ENGINE_by_id:no such engine:eng_list.c:390:id=gost named[3398]: initializing DST: crypto failure named[3398]: exiting (due […]
如何创build一个没有function的新用户? 例如,他们不应该能够运行任何命令或查看任何目录(如果需要,除了他们的主目录)。 这个用户的唯一目的是允许Machine1创build一个到newlimiteduser @ Machine2(具有这个有限新用户的机器)的ssh连接,然后Machine2可以使用先前build立的ssh创build一个到Machine1的ssh连接作为隧道。
对于整个Debian来说还是新事物,所以对我很感兴趣。 唯一我想要一个用户通过SSHlogin。 在这一点上应该没有文件或目录(如/ etc,/ var)。 用户唯一能做的就是“su”login到root,然后pipe理系统。 这样做是为了增加安全性。 每一点帮助正确? 显然chroot不是那么安全(在这里看到一个答案,似乎无法find链接tho)。
我在Debian 5.0上configurationVsFTPd 2.2.2服务器。 我想用户login后可以看到和编辑只有两个目录: /home/user/ /var/www/project1/ /var/www/project2/ 可能的解决scheme 我可以在这个目录之一的Chroot用户。 但我不想使用符号链接或“挂载 – 绑定”,因为我有很多的用户,我不想有非常大的fstab文件。 另外,用户应该完全看到“/ var / www / project1 /”,而不是/ home / user / var-www-project1 /。 我可以设置local_root = /。 在这种情况下,用户将看到所有目录(bin dev等lib lib lost + found mnt proc sbin sent sys usr boot emul home lib64 media opt root selinux srv tmp var)。 它也不满足我:(
我已经执行下面的步骤来设置jailed用户在这里用户名是test3 mkdir -p /home/test3/{dev,etc,lib,usr,bin} mkdir -p /home/test3/usr/bin chown root.test3 /home/test3 mknod -m 666 /home/test3/dev/null c 1 3 cd /home/test3/etc cp /etc/ld.so.cache . cp /etc/ld.so.conf . cp /etc/nsswitch.conf . cp /etc/hosts . cd /home/test/usr/bin cp /bin/ls . cp /bin/bash . cd /sbin wget -O l2chroot http://www.cyberciti.biz/files/lighttpd/l2chroot.txt chmod +x l2chroot 编辑l2chroot文件并将BASE=”/webroot”更改为BASE=”/home/test” 。 这告诉l2chroot你的监狱位于哪里,所以它把一切都复制到正确的地方。 现在继续运行你想要的二进制文件的命令。 l2chroot /bin/ls l2chroot […]
我想给SFTP访问一个特定的用户,但想jailroot它,使她的看法只限于她的主目录。 对于系统的其他用户来说,它应该保持正常。 可能吗?
我使用ChrootDirectory /var/www/upload在我的etc/ssh/sshd_config中将用户chrooted到目录/var/www/upload 。 var/www/upload中所有文件的权限为755,所有者为root:upload_user。 不过,我仍然无法修改这些文件。 (获取权限被拒绝的错误。)是否有可能创build一个拥有所有权的子目录upload_user:upload_user 。 无论如何,是否可以允许我的chroot用户写入他的/目录?
我在sshd_config中有这个设置: AllowUsers test1 test2 Match group sftpgroup ChrootDirectory /var/www X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp Match user test2 ChrootDirectory /var/www/somedomain.dk X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp 我试图限制test2只使用/var/www/somedomain.dk 由于某种原因,当我尝试login例如与帐户test2上的Filezilla我得到这个错误:“ 服务器意外closuresnetworking连接 ” 用户被创build和工作。 SSH服务已经停止并启动。 当使用例如filezilla时, test1工作,并且连接的根目录是/ var / www 。 我究竟做错了什么?
我想从Debian Lenny的chroot监狱运行dhcpd3 。 目前,我可以从我的监狱根部运行。 现在我想做非root用户(如“-u blah -t / path / to / jail”绑定选项)。 如果我开始这样的过程: start-stop-daemon –chroot / home / jails / dhcp –chuid dhcp \ –start –pidfile /home/jails/dhcp/var/run/dhcp.pid –exec / usr / sbin / dhcpd3 我遇到这些错误: Internet Systems Consortium DHCP服务器V3.1.1 版权所有2004-2008 Internet Systems Consortium。 版权所有。 有关信息,请访问http://www.isc.org/sw/dhcp/ 无法创buildicmp套接字:操作不允许 写0删除主机decls租赁文件。 写0新的dynamic主机decls租赁文件。 写出0个租约来租赁文件。 打开LPF套接字:操作不允许 strace: brk(0)= 0x911b000 fcntl64(0,F_GETFD)= […]
我为请求SFTP访问的用户设置了一个chrooted环境,本质上他们的login目录必须是/ home / xxxx,这是不能被公共FTP访问的, 将每个/ home / xxx目录挂载到/ srv / ftp /〜xxx,在不久的将来可能有100个用户对于服务器环境来说是一个坏主意? 它能减缓任何事情吗? 一个例子: mount –bind /srv/ftp/john /home/john/ 如果你可以提供任何经验或见解,如果我做错了,随时可以教我 – 我会非常感激。