Простой & amp; простой способ сажать в тюрьму пользователей

Мне нужен простой и легкий способ сажать пользователей в домашние каталоги в Oneiric. У вас есть простая конфигурация для заключения в тюрьму пользователей, с полной помощью или с хорошими веб-ссылками?

Я бы предложил онлайн бесплатный общедоступный сервер с 10–20 ГБ свободного места. Я не знаю, сколько пользователей. Я хочу дать им SSH и SFTP, чтобы они могли подключаться через FileZilla.

33
задан 07.05.2020, 13:00

4 ответа

Трудно догадаться, какую цель вы хотите достичь. Если нужно запретить ssh / sftp при предоставлении доступа в тюрьму через FTP ... easy:

Добавить в / etc / shells новую оболочку:

sudo -e /etc/shells

Добавить одну строку: [119 ]

/bin/false

Сохранить. Для каждого пользователя, которому вы хотите запретить ssh / sftp, измените оболочку пользователя:

sudo chsh -s /bin/false userx

Теперь userx не может войти через ssh / sftp.

Установите vsftpd:

sudo apt-get install vsftpd

Отредактируйте файл конфигурации:

sudo -e /etc/vsftpd.conf

И некоторые изменения ....

anonymous_enable=NO
local_enable=YES
chroot_local_user=YES

Сохранить. Перезапустите vsftpd:

sudo /etc/init.d/vsftpd restart
0
ответ дан 07.05.2020, 13:00

Вы можете проверить rbash как оболочку для своих пользователей.

man bash

Поиск RESTRICTED SHELL раздел

Или посмотрите на этой странице http://linux.die.net/man/1/bash

0
ответ дан 07.05.2020, 13:01
  • 1
    можно ли сказать мне, как я настраиваю его.... jailbash – Alex K. 07.05.2020, 13:01
  • 2
    да, извините, я зафиксировал это. Был блог несколько лет назад, где кто-то повредил нашу rbash тюрьму, я настроил, и я, хотя это была трудная, минимальная тюрьма. Взял их менее тогда 5 минут. Не сделал, чтобы любой убежал из jailbash. – Community 07.05.2020, 13:02
  • 3
    @bodhi.zazen Вы имеете в виду rbash? – vimal1083 07.05.2020, 13:02
  • 4
    да, удар человека помогает, использование удара restrited возможности оболочки проще – isomorphismes 07.05.2020, 13:02
  • 5
    Просто будьте очень осторожны с rbash, очень легко убежать и отсортировать устаревших продуманных. См. blog.bodhizazen.net/linux/how-to-restrict-access-with-rbash – Steve Kehlet 07.05.2020, 13:03

Jailkit - это набор утилит, которые могут ограничивать учетные записи пользователей конкретным деревом каталогов и конкретными командами. Настроить джейл намного проще, используя утилиты Jailkit, которые делают это «вручную». Тюрьма - это дерево каталогов, которое вы создаете в своей файловой системе; пользователь не может видеть никаких каталогов или файлов, которые находятся за пределами каталога тюрьмы. Пользователь заключен в этот каталог и его подкаталоги.

Скачать & amp; Установите:

http://olivier.sessink.nl/jailkit/index.html#download

VERSION=2.20 # from November 2018
cd /tmp
wget https://olivier.sessink.nl/jailkit/jailkit-$VERSION.tar.gz
tar -zxvf jailkit-$VERSION.tar.gz
cd jailkit-$VERSION/
./configure
make
su -
make install

Настройка тюрьмы

Теперь пришло время настроить каталог тюрьмы. Заключенные в тюрьму пользователи увидят этот каталог как корневой каталог сервера. Я решил использовать / home / jail:

mkdir /home/jail
chown root:root /home/jail

jk_init можно использовать для быстрого создания тюрьмы с несколькими файлами или каталогами, необходимыми для конкретной задачи или профиля (нажмите на нее и прочитайте полная информация).

jk_init -v /home/jail basicshell
jk_init -v /home/jail netutils
jk_init -v /home/jail ssh
jk_init -v /home/jail jk_lsh

Добавить пользователя

Добавить нового пользователя с домашним каталогом и оболочкой bash и установить пароль:

useradd -d /home/jailtest -m jailtest -s /bin/bash
passwd jailtest

Теперь пришло время заключить в тюрьму это пользователь

использует следующую команду:

jk_jailuser -m -j /home/jail jailtest

Ваш /etc/passwd должен содержать что-то вроде этого:

jailtest:x:1001:1001::/home/jail/./home/jailtest:/usr/sbin/jk_chrootsh

Включить bash

По используя jk_cp библиотеки bash копируются в тюрьму:

jk_cp -v -f /home/jail /bin/bash

Редактировать /home/jail/etc/passwd

заменить эту строку:

jailtest:x:1001:1001::test:/usr/sbin/jk_lsh

на это:

jailtest:x:1001:1001::/home/jailtest:/bin/bash

Техническое обслуживание

С помощью jk_update обновления в реальной системе можно обновлять в тюрьме.

Пробный прогон покажет, что происходит:

jk_update -j /home/jail -d

Без аргумента -d будет выполнено реальное обновление. Больше операций по обслуживанию можно найти здесь.

(Если /home/jail/opt отсутствует, создайте его с помощью mkdir -p /home/jail/opt/ и снова запустите jk_update -j /home/jail)

Предоставьте доступ к другим каталогам

Вы можете смонтировать специальные папки, чтобы Пользователь тюрьмы может получить доступ сейчас. Например:

mount --bind /media/$USER/Data/ /home/jail/home/jailtest/test/

Помощь взята

http://olivier.sessink.nl/jailkit/howtos_chroot_shell.html

[ 1122] http://olivier.sessink.nl/jailkit/index.html#intro (очень хорошая помощь)

Этот также

Этот был проверен & amp; проверено, работает правильно

0
ответ дан 07.05.2020, 13:01
  • 1
    Это или больше не работает, или что-то изменилось, так как это учебное руководство было поднято. Я получаю точно те же проблемы как MattH. – Carl G 07.05.2020, 13:02
  • 2
    Матовый H: Удостоверьтесь, что выполнили последние два шага; копирование двоичных файлов удара и редактирование/home/jail/etc/passwd файла. – Yarin 07.05.2020, 13:02
  • 3
    +1 очень хороший. настоятельно рекомендуйте чтение ссылок, которые Вы упомянули выше в " Справка Taken" раздел также – Keir Loire 07.05.2020, 13:02
  • 4
    У меня также сразу была закрытая проблема соединения после желанного сообщения. Я изменил оболочку входа в систему в chroot passwd файл от jk_lsh для избиения, как считано здесь linuxquestions.org/questions/linux-software-2/… Это не решение, а обходное решение! – SystemParadox 07.05.2020, 13:03
  • 5
    Этот doesn' t работают над Ubuntu 13.10. Когда Вы пытаетесь наконец войти в систему, Вы получаете желанное сообщение, сразу сопровождаемое закрытым соединением. – Hamid Rohani 07.05.2020, 13:04

Вы не можете ограничить их / home, поскольку им нужен доступ к системным двоичным файлам, файлам bash и конфигурации в / etc

ИМО. Самый простой способ защитить пользователей - это использовать apparmor.

Вы делаете жесткую ссылку

ln /bin/bash /usr/local/bin/jailbash

Вы добавляете jailbash в / etc / shells

Затем вы назначаете jailbash для оболочки пользователя, а затем пишете профиль apparmor для jailbash, позволяя доступ.

sudo chsh -s /usr/local/bin/jailbash user_to_confine

Вы должны будете написать профиль apparmor самостоятельно, но у меня есть профиль, который вы могли бы начать с

http://bodhizazen.com/aa-profiles/bodhizazen/ubuntu -10,04 / usr.local.bin.jailbash

0
ответ дан 07.05.2020, 13:02
  • 1
    можно использовать LXC для этой задачи, остерегаться, та изоляция является иногда неполной с LXC. Пока у пользователей нет корневого доступа в контейнере, необходимо быть в порядке, и можно хотеть подписаться на список рассылки LXC. – Alex K. 07.05.2020, 13:03
  • 2
    Я думаю, что смысл вопроса должен был указать на инструменты для автоматизации этого процесса... как jailkit, инструмент упоминания OP. – Mr. Flibble 07.05.2020, 13:03
  • 3
    You can not confine them to /home as they need access to the system binaries and bash and configuration files in /etc Нет ничего мешающего Вам связываться/копировать файлы, Вы чувствуете, что им нужно. – Qwerty 07.05.2020, 13:04
  • 4
    Да Вы " can" сделайте, как user606723 предполагает, но это не настолько легко, и IMO всех потенциальных решений наименее практическое или легкое. Мог бы также создать chroot или использовать lxc. Вы копируете двоичный файл, тогда освобождение. Часто необходимо будет вручную определить, освобождает с ldd. Этот метод берет тонну работы для установки. И затем необходимо усовершенствовать тюрьму, необходимо будет вручную обновить (копируют) двоичные файлы / освобождает. Ссылки могли бы работать лучше с точки зрения обновлений, но все еще необходимо установить их всех. Так или иначе я не думаю, что это - то, что имел в виду OP. Как тогда сохранить их заключенными? – Francisco J. Valverde Albacete 07.05.2020, 13:04
  • 5
    @bodhi.zazen. о чем думают u приблизительно это.. debootstrap (сновещательные) тогда, делают контейнер с помощью lxc. набор тюрьмы использования > пользователь к контейнеру >. что я сделал до сих пор, у меня есть debbootstrap сновещательный минимум, тогда использовал jailkit > хорошо работать – Yarin 07.05.2020, 13:04

Теги

Похожие вопросы