Questions tagged «jail»

我试图将主目录的层次结构暴露给许多FreeBSD监狱。配置主目录，以便每个目录都是唯一的ZFS数据集。这些监狱用于开发工作，因此会定期创建和销毁。 我首先想到的只是使用nullfs挂载/home在监狱中，但是nullfs并没有提供任何访问下级文件系统的方法。 我的第二个想法是通过NFS导出目录，然后在每个监狱中运行自动安装程序守护程序（amd）。如果可以在监狱中执行NFS挂载，那本来可以工作的。但事实并非如此。 我的第三个想法是在主机上运行amd，并将nullfs挂载到监狱中...但是不存在对nullfs的 amd支持。 我的第四个想法是回到使用NFS导出目录的原因，因为amd当然可以与NFS一起使用，对吗？不幸的是，amd不想在目标挂载点上挂载目录，而是希望将其挂载到一个临时位置（/.amd_mnt/...），然后创建一个符号链接...当然，这在监狱环境中毫无用处。 因此，也许您可​​以使用nullfs向/.amd_mnt监狱公开的子目录？没有！这使我们回到了我的第一次尝试，在该尝试中，我们发现无法使用nullfs访问下级文件系统。 然后我的头爆炸了。 我要做什么有很好的解决方案？一个不好的解决方案是在启动监狱后运行一个脚本，该脚本将为每个主目录创建多个nullfs挂载点，但这非常笨拙-需要定期运行以考虑新目录或已删除目录。因此，基本上我将不得不编写一个错误的自动挂载程序。 一定会有更好的办法。帮我，Serverfault，您是我唯一的希望！ 更新1：我想到我可以用来解决部分问题pam_mount，尽管这充其量是不完整的。另外，从文档中还不清楚是否pam_mount可以自动创建目标安装点。如果它要求挂载点先验存在，那么该解决方案将不会比我已经提出的错误的自动挂载器更好。 更新2：如以下答案中所述，VFCF_JAIL在NFS文件系统上进行设置确实允许监狱执行NFS挂载。不幸的是，自动挂载程序继续表现为无益的，并且在监狱中运行时似乎很擅长以某种方式陷入困境，以至于必须重新引导系统才能删除进程条目。

40 freebsd  zfs  automount  jail  central-processing-unit 

是否jail.local文件充当覆盖到jail.conf或作为替代，以jail.conf？ 当我从教程中学习Fail2Ban时，大多数人通常会说要么将jail.conf复制到jail.local并在那里进行编辑，另一些人却说要创建一个新的jail.local文件并提供许多设置以进行复制并粘贴。但是他们没有解决的是jail.local如何与jail.conf一起工作。这些是两种情况： 覆盖：如果jail.local替代了jail.conf文件，那么我要做的只是将我想覆盖的必要配置添加到jail.conf中提供的默认配置中。在这种情况下，我不需要添加SSH配置等。因为它已经包含在jail.conf中。 替换：如果在存在jail.local时jail.conf变得无效，那么我需要在jail.local中添加所有规则，然后编辑要修改的规则。 当出现jail.local时，您能否确认jail.conf会发生什么？如果jail.local的行为只是jail.conf文件顶部的替代，那么对我来说，只需添加几行要添加的规则就容易了，这也使维护和可读性变得容易。最好的方法是什么？

25 iptables  firewall  debian-wheezy  fail2ban  jail 

我正在尝试设置sftp，以便一些受信任的人可以访问/编辑/创建一些文件。我已经将一个用户监禁到其主目录（/ home / name）中，但是遇到了问题。我希望他们也能够访问VPS的其他部分，因为它也是游戏服务器，Web主机等，并且我希望他们能够完全控制其监禁目录之外的文件。 我尝试将符号链接（ln -s）链接到所需目录，但按预期的那样，它不起作用。我尝试（cp -rl）访问要授予访问权限的文件，该文件可以正常工作-他们可以编辑目录中的文件，并更改存储在jail之外的文件。但是他们无法创建新文件（可以但不能在监狱外更新）。我知道我可能没有按照“正确的方式”进行操作，但是我该怎么做才能做自己想做的事情？

22 sftp  chroot  symlink  jail  cp 

FreeBSD上的jail和Linux上的Docker之间的主要区别是什么？一个比另一个更安全或更有效吗？Jails比Docker实例更旧，因此可以认为代码本身更安全。但是Jails从不“追赶”，所以也许它们不如Docker实例好？还是仅仅是因为Linux比FreeBSD受欢迎得多？

18 docker  freebsd  jail 

我正在运行Debian稳定版，并且希望为我的“ sftponly”组中的用户建立以下环境： 入狱 可以通过SFTP传输 可以和SCP一起转移 无法使用SSH交互式登录 通过我的实验和研究，似乎sshd_config中的以下节使我达到了90％： Match group sftponly ChrootDirectory /sftp/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp 这使我入狱的SFTP却没有SSH，这很好。但这也会禁用SCP，这并不理想，因为有很多客户端是使用SCP而不是SFTP（我们要替换的服务器同时支持这两种协议）的旧式，脚本化进程，并且由于这些客户端不受我们的控制并且很容易修改后，完全禁用SCP可能不切实际。 有意义的是，此配置将禁用SCP，因为传入的SCP连接导致sshd通过用户的登录shell（即该用户）生成“ scp”进程。如果不是特殊的“ internal-sftp”处理程序，似乎SFTP通常也是如此。 因此，我想我的问题是：除了SCP之外，是否有一种方法可以达到与“ internal-sftp”相同的效果，而不必诉诸于使用诸如scponly和rssh之类的第三方工具？关于“ internal-sftp”的真正好处是，它不需要建立带有支持文件的监狱，也不需要处理可能被利用的第三方setuid二进制文件（特别是rssh，具有漏洞利用历史）。

16 ssh  sftp  scp  chroot  jail 

我可以访问先前设置的FreeBSD盒子，上面装有许多监狱。其中一个监狱是SQL Server，并且未启用ssh。 如何从主机访问该监狱中的外壳？（我对此拥有根本权利。）

12 unix  shell  freebsd  jail 

我有一台FreeNAS（11.1-U1）和一台FreeBSD（11.1-RELEASE-p6）机器。在FreeNAS上，我想以zfs receive具有委派权限的非root用户身份递归快照。这似乎对大多数子数据集都适用。但是iocage的data数据集可以安装到监狱并从那里进行管理，但它们失败了： root@freebsd:~> zfs send -RI "dozer@2018-02-21" "dozer@2018-03-08" | ssh -T -i /root/backup_key backupuser@freenas zfs receive -dvuF neo/backups/freebsd receiving incremental stream of dozer@2018-03-03 into neo/backups/freebsd@2018-03-03 received 312B stream in 1 seconds (312B/sec) receiving incremental stream of dozer@2018-03-07 into neo/backups/freebsd@2018-03-07 received 312B stream in 1 seconds (312B/sec) receiving incremental stream of …

9 freebsd  zfs  freenas  delegation  jail 

是否可以在较重的虚拟化环境（Xen DomU，KVM，Hyper-V，VMVare）下使用LXC？我想将其用作安全性（隔离）工具，限制资源消耗的能力对我而言并不是优先考虑的事情。我只是想以一种简单的方式来完成它。类似于在非虚拟服务器上使用LXC。我不想在生产服务器上使用过于棘手的设置。

9 virtualization  xen  kvm-virtualization  jail  lxc