我已经尝试让 Forgejo 在 Truenas Core(FreeBSD 监狱)中运行一个多星期了。当我以 git 用户身份手动启动 Forgejo 时,它按预期运行,但是尝试让它使用 ports 包提供的包含的 rc 文件运行时,它会出错。 福尔赫霍港 rc.d 脚本 当我手动启动 forgejo 时,它会运行: root@Forgejo:/home/jailuser # su git git@Forgejo:/home/jailuser $ forgejo web -c /usr/local/etc/forgejo/conf/app.ini 2024/...
我有一个在监狱中运行的带有 xorg-x11 的整个系统。我唯一的问题是,当 X 运行时,我无法添加或删除键盘或鼠标。如果我重新启动 X,新连接的键盘或鼠标就可以正常工作。我不想重新启动 X。如果我在裸机上运行我的系统,它会按预期工作。只有当我从监狱运行它时才会发生这种情况。 我看到这些设备是在我插入或拔出它们时创建的: /dev/input/event* /dev/usb/* /dev/ukbd* /dev/kbd* /dev/ums* /dev/ugen* 我正在运行 dbus,但无论出于何种原因,Xorg 似乎都没有看到它们。 如果我跟踪 /var/...
我使用 github 上的 Jail-shell 监禁了一名用户(https://github.com/pymumu/jail-shell)。用户有 php 二进制文件。这样 php 命令就可以工作了。但是,当我从该用户的终端执行 php artisan 命令(例如“php artisanserve”或“php artisan optimization:clear”)时,我收到致命错误,如下所示: Fatal error: Uncaught ReflectionException: Class "config" does not exist in /home...
我有一个来自不受信任来源的二进制文件,我想阻止并记录任何互联网访问尝试,并查看它尝试连接的服务器。 我想到的第一个方法是使用 firejailhttps://wiki.archlinux.org/title/firejail,但我需要一个假的虚拟网络接口来记录我猜测的所有内容。 您还有其他解决方案,或者您知道如何做这样的虚拟接口吗? ...
我创建了一个 fstab 文件(用于安装 /dev/pts 和 /proc,使用绑定选项)作为监狱的一部分,但是当我 chroot 到监狱时,两个文件系统都没有安装。这让我想知道在 chroot 时何时解析监狱的 fstab。这是之前、期间、之后还是从未进行过?我开始认为永远不会,因为一旦进入监狱,fstab 尝试挂载的文件系统就应该遥不可及。 (我在调试生产系统时遇到了这个问题,这让我想知道 chroot Jail fstabs 是否曾经受支持,但现在不再支持了。) ...
我想要实现的目标 我想以非特权用户身份运行一个进程,但该进程更改的所有文件都应该只在影子文件夹中更改。此外,如果需要,我想禁用网络功能。 我已经尝试过的 使用lowerdir/和 upperdir安装覆盖层/temp/fakeroot,,unshare -rnchroot /temp/overlay 问题:需要 root 才能挂载,覆盖层忽略嵌套挂载(我的主目录) unshare -rmn, 使用 lowerdir/和 upperdir安装覆盖层/temp/fakeroot 问题:尝试安装时出错,因为/tmp它是以下文件夹的子文件夹/ fuse...
我已经成功地在 FreeBSD 13.1 中安装了 Ubuntu chroot 监狱。但是,我需要从中运行 Firefox,以便从 chroot 子系统内的 python 虚拟环境启动 Jupyter Lab。我想知道是否可以从子系统使用 FreeBSD Firefox。尽管如此,我在 chroot 子系统上安装了 Firefox,当尝试运行它时,出现了如下错误。 (newEnv) schroter1@SCHROTER:~$ firefox No protocol specified Unable to init server: Broadway displ...
作为设置受限用户的脚本的一部分,我运行了该enable -n enable命令。出于测试目的,我想撤消该命令,但我找不到任何有关如何执行此操作的文档。我知道通常我会运行enable enable,但由于该命令被禁用,所以这不是一个选项。 有问题的用户已 chroot 并正在运行rbash,我在设备上拥有超级用户访问权限,并且我尝试过类似的操作,sudo su -c "enable echo" usernameHere但没有成功。我知道我总是可以废弃用户并重新开始,但我有一种感觉,我缺少更好的方法,所以如果可能的话,我想避免删除用户。 任何意见和建议将不胜感激...
我希望一个进程(及其所有潜在的子进程)能够根据我的用户配置文件读取文件系统,但我想将该进程的写入权限限制为仅一组预先选择的文件夹(可能只有一个)。 chroot似乎行动过于宽泛。将进程限制在文件系统的特定部分,这使得安装/bin文件夹等的需要变得更加简单。我的进程应该能够像我启动的任何正常进程一样读取文件系统的内容。 我可以使用 docker 容器并安装一个卷,但这似乎有点过分:需要安装 docker、创建图像、启动其中的容器等... 有没有办法做类似的事情?: restricted-exec --read-all --write-to /a/particu...
我创建了一个绑定安装,/tmp/test然后用它来建立一个 chroot 监狱。例如: mount --bind -o ro /usr/bin/ /tmp/test chroot /tmp/test /some_executable 这似乎工作正常 - 该文件夹中的大多数可执行文件都可以访问,我可以在监狱内正常与它们交互。但是,挂载中至少有一些文件显示为空可执行文件。具体来说,一类 nvidia 可执行文件用于与连接到我的系统的 GPU 设备进行交互: -rwxr-xr-x 1 root root 0 Feb 13 15:16 nvidia-...
有没有办法将 mydomain.com 上的流量转发到虚拟机( bhyve )上托管的本地 Web 服务器? 假设我的本地机器有本地 IP -1.1.1.1 我在X托管公司注册的域名是IP -3.3.3.3 如何将流量从 3.3.3.3 转发到我的本地虚拟机? ...
我创建了一个chroot监狱并将多个二进制文件及其相应的库复制到相关子目录中。例子: cp -v /usr/bin/edit /home/jail/usr/bin ldd /usr/bin/edit linux-vdso.so.1 (0x00007fff565ae000) libm.so.6 => /lib64/libm.so.6 (0x00007f7749145000) libtinfo.so.5 => /lib64/libtinfo.so.5 (0x00007f7748f11000) ...
我在我的家庭服务器上运行 FreeBSD 12.1-RELEASE。 有时,服务器的 HDD 会连续运行数小时,即使服务器本身应该处于空闲状态。 (我没有安排 cron 作业,并且我终止了在其上运行的常用进程。) 运行时htop,我看到以下内容: 1[ 0.0%] 2[ 0.0%] 3[ 0.0%] 4[ 0.0%] Mem[||||||||||||||||||...
我是 FreeBSD 系统管理的新手,并且对保持监狱保持最新状态有点困惑。不同的命令似乎给出了相互矛盾的信息: 之后sudo pkg -j 18 upgrade,重新运行sudo pkg -j 18 upgrade --dry-run告诉我Your packages are up to date。到目前为止,一切都很好。 sudo pkg -j 18 audit -F不过会告诉我15 problem(s) in 5 installed package(s) found。既然我们之前已经确定所有软件包都是最新的,那怎么可能呢?这是否意味着列出的漏洞是已知的...
我正在尝试将 aws ec2 实例中的 jail 连接到互联网。我能够创建 jail 并在其中执行控制台,问题是 jail 与外部没有任何连接。 这是创建监狱的步骤: echo 'cloned_interfaces="lo1"' >> /etc/rc.conf service netif cloneup ezjail-admin create jail 'lo1|127.0.1.1,xn0|172.31.36.57' cp /etc/resolv.conf /usr/jails/jail/etc ezjail-admin console -f j...