คำถามติดแท็ก jail

1
ฉันกำลังจะสับ FreeBSD automounter เป็นชิ้นเล็กชิ้นน้อยแล้วต้มในน้ำมัน
ฉันพยายามที่จะเปิดเผยลำดับชั้นของโฮมไดเร็กตอรี่ถึงจำนวนของ FreeBSD jails โฮมไดเร็กตอรี่ได้รับการกำหนดค่าให้แต่ละชุดข้อมูลเป็น ZFS ที่ไม่ซ้ำใคร คุกใช้สำหรับงานพัฒนาดังนั้นจึงสร้างและทำลายอย่างสม่ำเสมอ ความคิดแรกของฉันคือการใช้nullfsเพื่อติดตั้ง/homeในคุก แต่nullfsไม่มีวิธีใดในการเข้าถึงระบบไฟล์รอง ความคิดที่สองของฉันคือการส่งออกไดเรกทอรีผ่าน NFS แล้วเรียกใช้ automounter daemon (amd) ในแต่ละคุก สิ่งนี้จะมี Just Worked ... หากเป็นไปได้ที่จะทำการเมานต์ NFS ภายในคุก แต่มันไม่ใช่ ความคิดที่สามของฉันคือการเรียกใช้เอเอ็มดีในพื้นที่และการให้nullfsม้าเข้าไปในคุก ... แต่การสนับสนุนเอเอ็มดีสำหรับnullfsไม่อยู่ ความคิดที่สี่ของฉันคือกลับไปที่การส่งออกไดเรกทอรีโดยใช้ NFS เพราะแน่นอนว่า amd ทำงานกับ NFS ได้ใช่ไหม แต่น่าเสียดายที่แทนที่จะติดตั้งไดเรกทอรีในตำแหน่งเป้าหมายแล้วเอเอ็มดีชอบที่จะติดตั้งสิ่งต่าง ๆ ในตำแหน่งชั่วคราว ( /.amd_mnt/...) แล้วสร้าง symlink ... ซึ่งแน่นอนว่าไม่มีประโยชน์อะไรในสภาพแวดล้อมของคุก ดังนั้นบางทีคุณอาจใช้nullfsเพื่อเปิดเผยไดเรกทอรีย่อยของ/.amd_mntคุก? No! วิธีนี้จะทำให้เรากลับไปที่ความพยายามครั้งแรกของฉันในการที่เราจะพบว่ามีวิธีใดในการเข้าถึงระบบไฟล์ของผู้ใต้บังคับบัญชาใช้nullfs แล้วหัวของฉันก็ระเบิด มีวิธีแก้ปัญหาที่ดีสำหรับสิ่งที่ฉันพยายามทำหรือไม่? ไม่ดีวิธีการแก้ปัญหาที่จะเรียกใช้สคริปต์หลังจากบูตคุกที่จะสร้างหลายnullfs mountpoints …

1
Fail2ban jail.local vs jail.conf
ไฟล์ jail.local ทำหน้าที่แทนที่ทับกับ jail.conf หรือแทนที่เป็น jail.conf หรือไม่? เมื่อฉันเรียนรู้เกี่ยวกับFail2Banจากบทช่วยสอนพวกเขาส่วนใหญ่มักจะพูดว่าคัดลอก jail.conf ไปที่ jail.local และทำการแก้ไขที่นั่นและบางคนบอกว่าจะสร้างไฟล์ jail.local ใหม่และให้การตั้งค่าจำนวนมากเพื่อคัดลอก และวาง แต่สิ่งที่พวกเขาไม่ได้กล่าวถึงคือ jail.local ทำงานกับ jail.conf อย่างไร นี่คือสถานการณ์ 2 อย่าง: แทนที่:หาก jail.local ทำหน้าที่เป็นไฟล์ override to jail.conf สิ่งที่ฉันต้องทำก็แค่เพิ่มการตั้งค่าที่จำเป็นที่ฉันต้องการจะแทนที่เป็นค่าเริ่มต้นที่กำหนดใน jail.conf ในกรณีนี้ฉันไม่จำเป็นต้องเพิ่ม SSH config ฯลฯ เนื่องจากรวมอยู่ใน jail.conf แล้ว การแทนที่:หาก jail.conf ไม่ถูกต้องเมื่อ jail.local มีอยู่ฉันต้องเพิ่มกฎทั้งหมดใน jail.local แล้วแก้ไขสิ่งที่ฉันต้องการแก้ไข คุณช่วยยืนยันสิ่งที่เกิดขึ้นกับ jail.conf ได้ไหมเมื่อ jail.local ปรากฎโปรด …

1
SFTP: symlink ไฟล์ในไดเรกทอรี jailed (chrooted)
ฉันกำลังพยายามตั้งค่า SFTP เพื่อให้บางคนที่เชื่อถือได้สามารถเข้าถึง / แก้ไข / สร้างไฟล์บางไฟล์ได้ ฉันจำผู้ใช้ไว้ในโฮมไดเร็กตอรี่ (/ home / name) แต่เจอปัญหา ฉันต้องการให้พวกเขาสามารถเข้าถึงส่วนอื่น ๆ ของ VPS ได้เพราะมันเป็นเซิร์ฟเวอร์เกมเว็บโฮสติ้งและอื่น ๆ และฉันต้องการให้พวกเขาสามารถควบคุมไฟล์ได้อย่างเต็มที่นอกไดเรกทอรีที่ถูกจำคุก ฉันพยายามสร้าง symlink (ln -s) ไปยังไดเรกทอรีที่ต้องการ แต่มันไม่ทำงานตามที่คาดไว้ ฉันพยายาม (cp -rl) กับไฟล์ที่ฉันต้องการให้เข้าถึงและใช้งานได้ - พวกเขาสามารถแก้ไขไฟล์ในไดเรกทอรีของพวกเขาและเปลี่ยนไฟล์ที่เก็บไว้นอกคุก แต่พวกเขาไม่สามารถสร้างไฟล์ใหม่ได้ (สามารถทำได้ แต่จะไม่อัปเดตนอกคุก) ฉันรู้ว่าฉันคงไม่ทำแบบนี้ "ถูกต้อง" แต่ฉันจะทำอย่างไรเพื่อทำสิ่งที่ฉันต้องการ
22 sftp  chroot  symlink  jail  cp 

1
อินสแตนซ์ของ FreeBSD Jails หรือ Docker
อะไรคือความแตกต่างที่สำคัญระหว่างคุกบน FreeBSD และ Docker บน Linux มีความปลอดภัยมากกว่าหรือมีประสิทธิภาพมากกว่าผู้อื่นหรือไม่ คุกมีอายุมากกว่าอินสแตนซ์ของนักเทียบท่าดังนั้นตัวรหัสอาจมีความปลอดภัยมากกว่า แต่คุกไม่เคย "ติด" ดังนั้นบางทีพวกเขาอาจไม่ดีเท่า Docker อินสแตนซ์? หรือเป็นเพราะ Linux เป็นที่นิยมมากกว่า FreeBSD มาก?
18 docker  freebsd  jail 

5
OpenSSH มีอะไรเหมือน 'Internal-sftp' แต่สำหรับ SCP?
ฉันใช้ Debian เสถียรภาพและฉันต้องการสร้างสภาพแวดล้อมต่อไปนี้สำหรับผู้ใช้ในกลุ่ม 'sftponly' ของฉัน: ตัดสินจำคุก สามารถถ่ายโอนด้วย SFTP สามารถถ่ายโอนกับ SCP ไม่สามารถเข้าสู่ระบบแบบโต้ตอบกับ SSH จากการทดลองและการวิจัยของฉันดูเหมือนว่าบทต่อไปนี้ใน sshd_config ทำให้ฉันอยู่ที่นั่น 90%: Match group sftponly ChrootDirectory /sftp/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp สิ่งนี้ทำให้ฉันจำคุก SFTP และไม่มี SSH ซึ่งดี แต่มันก็ปิดการใช้งาน SCP ซึ่งน้อยกว่าอุดมคติเพราะมีลูกค้าเพียงไม่กี่รายที่เป็นกระบวนการที่ใช้สคริปต์ที่ใช้ SCP มากกว่า SFTP (เซิร์ฟเวอร์ที่เราใช้แทนที่รองรับโปรโตคอลทั้งสอง) และเนื่องจากลูกค้าเหล่านั้นไม่ได้อยู่ภายใต้การควบคุมของเรา แก้ไขแล้วมันไม่น่าจะปิดการใช้งาน SCP ได้เลย มันสมเหตุสมผลว่าการกำหนดค่านี้จะปิดการใช้งาน SCP เนื่องจากการเชื่อมต่อของ SCP ที่เข้ามาทำให้ sshd วางไข่กระบวนการ …
16 ssh  sftp  scp  chroot  jail 

1
ฉันจะเริ่มเชลล์ภายในคุกบน FreeBSD ได้อย่างไร
ฉันได้เข้าใช้งานกล่องเซ็ต FreeBSD ก่อนหน้านี้โดยมีคุกจำนวนหนึ่งอยู่ หนึ่งในคุกคือเซิร์ฟเวอร์ SQL และไม่ได้เปิดใช้งาน ssh ฉันจะเข้าถึงเชลล์ในคุกนั้นจากเครื่องโฮสต์ได้อย่างไร (ฉันมีสิทธิ์ใช้งานรูทมัน)
12 unix  shell  freebsd  jail 

2
ฉันจะกำหนดสิทธิ์ที่ผู้ใช้ของฉันหายไปจากการรับชุดข้อมูล ZFS ได้อย่างไร
ฉันมี FreeNAS (11.1-U1) และ FreeBSD (11.1-RELEASE-p6) ใน FreeNAS ฉันต้องการzfs receiveเรียกซ้ำสแนปชอตในฐานะผู้ใช้ที่ไม่ใช่รูทด้วยสิทธิ์ที่ได้รับมอบหมาย ดูเหมือนว่าจะทำงานได้ดีสำหรับชุดข้อมูลส่วนใหญ่ แต่dataชุดข้อมูลของ iocage ซึ่งสามารถติดตั้งในคุกและจัดการจากที่นั่นพวกเขาล้มเหลว: root@freebsd:~> zfs send -RI "dozer@2018-02-21" "dozer@2018-03-08" | ssh -T -i /root/backup_key backupuser@freenas zfs receive -dvuF neo/backups/freebsd receiving incremental stream of dozer@2018-03-03 into neo/backups/freebsd@2018-03-03 received 312B stream in 1 seconds (312B/sec) receiving incremental stream of dozer@2018-03-07 into …

3
ใช้ LXC ภายใต้การจำลองเสมือนที่หนักกว่า (Xen, KVM, Hyper-V, VMVare)
เป็นไปได้หรือไม่ที่จะใช้ LXC ภายใต้การจำลองเสมือนที่หนักกว่า (Xen DomU, KVM, Hyper-V, VMVare) ฉันต้องการใช้เป็นเครื่องมือรักษาความปลอดภัย (แยก) ความสามารถในการ จำกัด การใช้ทรัพยากรไม่สำคัญสำหรับฉัน ฉันสนใจเฉพาะถ้ามันสามารถทำได้ในทางตรงไปตรงมา; คล้ายกับการใช้ LXC บนเซิร์ฟเวอร์ที่ไม่ได้จำลองเสมือน ฉันไม่ต้องการใช้การตั้งค่าที่ยุ่งยากเกินไปบนเซิร์ฟเวอร์ที่ใช้งานจริง
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.