目前正在设置 Centos6.4 机器,并希望在登录时监禁 sftp 用户。我一直在遵循这里的说明http://www.thisisnotsupported.com/sftp-chrootjail-on-centos6。但我有一个与用户主目录有关的问题。 本教程列出ChrootDirectory了 ChrootDirectory /var/www/vhosts/%u 这使用用户名作为主目录。但是,我为用户指定了另一个主目录,我想改用该目录。尝试登录时,查找的目录基于用户名,而不是指定的主目录。 我已经在文档中搜索了我应该在此处使用的相关 % 键,但...
我使用 FreeBSD 和 ZFS 来运行多个 jail。对于 jail 管理,我使用的是ezjail,并且我有一个用于配置的模板 jail。 我想在所有 jail 和主机之间共享密码、组和身份验证信息。对于 jail,它可以是只读的。 是否存在某种机制可以共享主机密码、组等,而无需任何复杂的系统(如 LDAP/NIS/等)? ...
我有一个运行 Debian Squeeze Debian Squeeze / Apache2 / FastCGI / MySQL / Froxlor 的 VServer。客户、域和 FTP 帐户的管理均使用 Froxlor 执行。 以下问题:如果我在用户的 Web 空间上安装 Roundcube 之类的应用程序,则需要在配置中设置日志文件的路径。 如果我将 webroot 作为根目录,我将设置“/mail/log/”作为日志文件夹的路径(基于 Web 空间的根目录),但 PHP 正在使用此路径并在 (/mail/log) 下查找实际系统路径。 现在我收到“...
我正在尝试使用 cmake 构建一个项目,我使用命令 ccmake,下面是输出: CMake 版本 3.26.1 of the following names: PkgConfConfig.cmake pkgconf-config.cmake 将“PkgConf”的安装前缀添加到 CMAKE_PREFIX_PATH 或将“PkgConf_DIR”设置为包含上述文件之一的目录。如果“PkgConf”提供了单独的开发包或 SDK,请确保已安装。 我安装了 pkgconf,并且可以在原始的 freebsd-14 中成功构建所有内容,但是当我使用 po...
我在我的 Ubuntu 服务器上安装了 fail2ban。 一切似乎都开始正常: cat fail2ban.log 2023-12-07 14:55:27,758 fail2ban.server [803]: INFO -------------------------------------------------- 2023-12-07 14:55:27,758 fail2ban.server [803]: INFO Starting Fail2ban v0.11.2 2023-12-07 14:55:27,7...
的文件监狱指出这disable_no_new_privs是危险的: --disable_no_new_privs Don't set the prctl(NO_NEW_PRIVS, 1) (DANGEROUS) 这内核文档指出 例如,setuid 和 setgid 位将不再改变 uid 或 gid; 所以现在我想知道:在我需要 setuid 二进制文件的情况下,设置会有什么风险disable_no_new_privs: true? 内核文档说 no_new_privs + chroot 比单独使用 chroot 的危险性要小得多。 但这是...
我的服务器上有一个 IP 地址,比如 192.168.0.3,我想在网络命名空间中共享,以便在那里运行应用程序,这些应用程序只能使用 192.168.0.3 与互联网通信。 我可以“某种程度上”让它与macvlan设备类型一起工作...除了拥有两个 mac 地址之外,网关通常会青睐我的根或我的命名空间绑定接口。 有没有什么办法可以让我在 netns 内部镜像该 IP,而不影响外部 IP? 以下是我一直在尝试的: ip netns add myns ip link add link eth0 name en0 netns myns type macvlan i...
我的路由器的内部 IP 地址发生了变化,从那时起,TrueNAS 就一直表现不佳。所有 jail 都无法解析主机名。在排除故障时,我发现客户端无法 ping 任何外部 IP 地址,除非主机做出响应。 详情请见: 在此示例中,客户端监狱的 IP 为 10.153.2.250 主机(FreeNAS)的 IP 是 10.153.2.9 新的网关是 10.0.55.1(旧网关是 10.55.0.1),并且已在主机的网络配置和监狱的网络配置中更新。 当网关 IP 更改时,FreeNAS 在下次启动时进入启动循环...显然是 DNS 解析失败。我记得(当时是凌晨 3 ...
我的网络上有两台服务器。 服务器1运行 TrueNas(BSD),并在 iocage jail 中运行多个应用程序。它通过 3-nic LAGG 连接到网络。 服务器2是一个 OpenMediaVault(Debian)安装,其中有多个应用程序在通过单个物理网卡连接的 Docker 容器中运行。 两台服务器都连接到同一个 TP-Link 管理型交换机。 我正在尝试入狱服务器1它运行 borgbackup 来与 HealthChecks 容器建立 http 连接服务器2。我无法从 borgbackup jail 的控制台 ping 出服务器2或者向 docke...
将虚拟 FreeBSD 12.2 系统升级到 13.0-p3 后,jail 内服务的流量(通过 Apache 2.4 反向代理)被阻止。这是一台 Hyper-V 虚拟服务器,也是第二台出现相同问题的服务器(另一台是商业 VPS,虚拟机管理程序类型未知)。 一开始我以为是 PF 的问题,因为停止 PF 就解决了问题。我在 PF 日志中查找了被阻止的流量,但什么也没找到。 后来,我注意到无法创建新的 jail(使用 ezjail),因为没有创建软链接。此外,也无法访问 jail 内的服务,而在 12.2 jail 中这不是问题。 作为测试,我从头创建了一个新的物...
将我的 FreeBSD 系统从 12.2 升级到 13.0-p3 后,PF 阻止了所有到我 jail 的流量。禁用 PF 后,一切正常(除了不受保护 ;)) 我尝试通过设置“阻止所有日志”来找出阻止此流量的规则,但除了一些明显的多播内容之外,没有任何内容可以解释为什么阻止此流量。 再次强调,之前在 12.2 版本下一切都运行良好。我确实找到了一些关于 v13 现在通过 VLAN 而不是 lo0 进行过滤的文章,但我没有使用任何 VLAN。 我应该朝什么方向进一步寻求? 更新2021-07-15: 为了清楚起见:这是我的 pf_rules 文件: set bl...
已解决 - sshd conf 文件位于错误的目录中,并且扩展名错误 我已经关注了本教程氢氟酸一切进展顺利,fail2ban 启动顺利,我禁用了 selinux 以防万一,但 sshd jail 就是不启动。我尝试弄乱配置,当出现错误时,fail2ban 不会启动,但当我删除我更改的内容时,它会启动,但没有 jail。 因此,按照教程,我制作了文件/etc/fail2ban/sshd.local [sshd] enabled = true port = ssh action = firewallcmd-ipset logpath = %(sshd_log)s...
我想知道是否可以编写一个 shell 脚本: 为给定的用户规范和组运行 chroot 监视/拦截所有启动的进程的系统调用,以及它们调用的库试图加载,如果文件在 chroot 路径中不可用,但在“正常”系统路径中可用,则不会访问失败,而是让他们访问 chroot jail 之外的原始位置中的丢失文件,并将此事实记录到日志文件中。 例如,进程尝试启动 /bin/ls,但它不在 chroot 路径中。系统调用钩子计算出这一点,并注意到 /bin/ls 确实存在于主系统 /bin 路径中,因此该文件被缓存到用户的 chroot 中并被记录下来。 一旦用户退出...
我需要创建一个为外国 SSH 用户提供安全的环境对我们的服务器的访问权限必须非常严格。即: 只能执行允许的命令 只能使用允许的特定软件 在任何情况下都不允许查看/修改/删除其根文件系统之外的文件夹和文件 在使用之前我曾尝试过使用 chroot jailjailkit 工具对于较小的项目来说,它不需要太多的定制并且运行良好,但这个项目要大得多,并且在允许的软件和命令方面需要更多的定制。 安全环境的要求是: 能够使用基本命令,例如 ls、cd、grep 等。 运行 dotnet 脚本的能力 利用正在运行的 RabbitMQ 代理的能力(代理在环境之外运行)...
我有一个带有 2 个 jail 的 FreeBSD VPS,每个都设置了 ezjail(我现在知道这基本上已经被弃用了,但当时并不知道)。 $ jls JID IP Address Hostname Path 1 172.16.1.1 wwwserver /usr/jails/wwwserver 2 172.16.1.2 wwwgit /usr/jails/wwwgit ...