我已经在 Debian 上设置了 FreeRADIUS 2.1.12,用于在 WPA2-Enterprise 环境中进行身份验证。现在我想用 来限制它chroot。配置文件中有一个radiusd.conf指向 chroot 位置的参数:
#chroot = /opt/jail/freeradius
但是通过 radiusd.conf 中的文档,我无法弄清楚 chroot 目录中需要包含哪些文件和目录。
我已经弄清楚我需要/var/run/freeradius,/var/log/freeradius以及/etc/freeradius包含配置文件和模块的目录。我真的需要将后者放入监狱吗?或者它们可以留在外面并在执行 chroot 之前在 freeradius 启动时读取吗?如果不是,我是否需要所有文件,还是只需要部署中实际使用的文件?如前所述,我只使用身份验证功能。
有人做过这个吗?可以提供一些细节吗?非常感谢!
答案1
Chroot 在以下情况下完成:
- 读取主要配置
- 读取模块配置
- 读取虚拟服务器
- 读字典
但在此之前:
- 初始化模块。这意味着诸如用户文件之类的内容需要位于 chroot 目录中,任何 unix 套接字或模块使用的其他基于文件的资源也需要位于 chroot 目录中。
- 处理请求。这意味着日志文件必须位于 chroot 目录中。