Questions tagged «jail»

1
我将把FreeBSD自动安装器切成小块,然后用油煮沸
我试图将主目录的层次结构暴露给许多FreeBSD监狱。配置主目录,以便每个目录都是唯一的ZFS数据集。这些监狱用于开发工作,因此会定期创建和销毁。 我首先想到的只是使用nullfs挂载/home在监狱中,但是nullfs并没有提供任何访问下级文件系统的方法。 我的第二个想法是通过NFS导出目录,然后在每个监狱中运行自动安装程序守护程序(amd)。如果可以在监狱中执行NFS挂载,那本来可以工作的。但事实并非如此。 我的第三个想法是在主机上运行amd,并将nullfs挂载到监狱中...但是不存在对nullfs的 amd支持。 我的第四个想法是回到使用NFS导出目录的原因,因为amd当然可以与NFS一起使用,对吗?不幸的是,amd不想在目标挂载点上挂载目录,而是希望将其挂载到一个临时位置(/.amd_mnt/...),然后创建一个符号链接...当然,这在监狱环境中毫无用处。 因此,也许您可​​以使用nullfs向/.amd_mnt监狱公开的子目录?没有!这使我们回到了我的第一次尝试,在该尝试中,我们发现无法使用nullfs访问下级文件系统。 然后我的头爆炸了。 我要做什么有很好的解决方案?一个不好的解决方案是在启动监狱后运行一个脚本,该脚本将为每个主目录创建多个nullfs挂载点,但这非常笨拙-需要定期运行以考虑新目录或已删除目录。因此,基本上我将不得不编写一个错误的自动挂载程序。 一定会有更好的办法。帮我,Serverfault,您是我唯一的希望! 更新1:我想到我可以用来解决部分问题pam_mount,尽管这充其量是不完整的。另外,从文档中还不清楚是否pam_mount可以自动创建目标安装点。如果它要求挂载点先验存在,那么该解决方案将不会比我已经提出的错误的自动挂载器更好。 更新2:如以下答案中所述,VFCF_JAIL在NFS文件系统上进行设置确实允许监狱执行NFS挂载。不幸的是,自动挂载程序继续表现为无益的,并且在监狱中运行时似乎很擅长以某种方式陷入困境,以至于必须重新引导系统才能删除进程条目。

1
Fail2ban jail.local与jail.conf
是否jail.local文件充当覆盖到jail.conf或作为替代,以jail.conf? 当我从教程中学习Fail2Ban时,大多数人通常会说要么将jail.conf复制到jail.local并在那里进行编辑,另一些人却说要创建一个新的jail.local文件并提供许多设置以进行复制并粘贴。但是他们没有解决的是jail.local如何与jail.conf一起工作。这些是两种情况: 覆盖:如果jail.local替代了jail.conf文件,那么我要做的只是将我想覆盖的必要配置添加到jail.conf中提供的默认配置中。在这种情况下,我不需要添加SSH配置等。因为它已经包含在jail.conf中。 替换:如果在存在jail.local时jail.conf变得无效,那么我需要在jail.local中添加所有规则,然后编辑要修改的规则。 当出现jail.local时,您能否确认jail.conf会发生什么?如果jail.local的行为只是jail.conf文件顶部的替代,那么对我来说,只需添加几行要添加的规则就容易了,这也使维护和可读性变得容易。最好的方法是什么?

1
SFTP:监禁(chroot)目录中的文件符号链接
我正在尝试设置sftp,以便一些受信任的人可以访问/编辑/创建一些文件。我已经将一个用户监禁到其主目录(/ home / name)中,但是遇到了问题。我希望他们也能够访问VPS的其他部分,因为它也是游戏服务器,Web主机等,并且我希望他们能够完全控制其监禁目录之外的文件。 我尝试将符号链接(ln -s)链接到所需目录,但按预期的那样,它不起作用。我尝试(cp -rl)访问要授予访问权限的文件,该文件可以正常工作-他们可以编辑目录中的文件,并更改存储在jail之外的文件。但是他们无法创建新文件(可以但不能在监狱外更新)。我知道我可能没有按照“正确的方式”进行操作,但是我该怎么做才能做自己想做的事情?
22 sftp  chroot  symlink  jail  cp 

1
FreeBSD Jails或Docker实例
FreeBSD上的jail和Linux上的Docker之间的主要区别是什么?一个比另一个更安全或更有效吗?Jails比Docker实例更旧,因此可以认为代码本身更安全。但是Jails从不“追赶”,所以也许它们不如Docker实例好?还是仅仅是因为Linux比FreeBSD受欢迎得多?
18 docker  freebsd  jail 

5
OpenSSH类似于'internal-sftp'的东西,但是对于SCP?
我正在运行Debian稳定版,并且希望为我的“ sftponly”组中的用户建立以下环境: 入狱 可以通过SFTP传输 可以和SCP一起转移 无法使用SSH交互式登录 通过我的实验和研究,似乎sshd_config中的以下节使我达到了90%: Match group sftponly ChrootDirectory /sftp/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp 这使我入狱的SFTP却没有SSH,这很好。但这也会禁用SCP,这并不理想,因为有很多客户端是使用SCP而不是SFTP(我们要替换的服务器同时支持这两种协议)的旧式,脚本化进程,并且由于这些客户端不受我们的控制并且很容易修改后,完全禁用SCP可能不切实际。 有意义的是,此配置将禁用SCP,因为传入的SCP连接导致sshd通过用户的登录shell(即该用户)生成“ scp”进程。如果不是特殊的“ internal-sftp”处理程序,似乎SFTP通常也是如此。 因此,我想我的问题是:除了SCP之外,是否有一种方法可以达到与“ internal-sftp”相同的效果,而不必诉诸于使用诸如scponly和rssh之类的第三方工具?关于“ internal-sftp”的真正好处是,它不需要建立带有支持文件的监狱,也不需要处理可能被利用的第三方setuid二进制文件(特别是rssh,具有漏洞利用历史)。
16 ssh  sftp  scp  chroot  jail 


2
如何确定用户缺少接收ZFS数据集的权限?
我有一台FreeNAS(11.1-U1)和一台FreeBSD(11.1-RELEASE-p6)机器。在FreeNAS上,我想以zfs receive具有委派权限的非root用户身份递归快照。这似乎对大多数子数据集都适用。但是iocage的data数据集可以安装到监狱并从那里进行管理,但它们失败了: root@freebsd:~> zfs send -RI "dozer@2018-02-21" "dozer@2018-03-08" | ssh -T -i /root/backup_key backupuser@freenas zfs receive -dvuF neo/backups/freebsd receiving incremental stream of dozer@2018-03-03 into neo/backups/freebsd@2018-03-03 received 312B stream in 1 seconds (312B/sec) receiving incremental stream of dozer@2018-03-07 into neo/backups/freebsd@2018-03-07 received 312B stream in 1 seconds (312B/sec) receiving incremental stream of …

3
在较重的虚拟化环境(Xen,KVM,Hyper-V,VMVare)下使用LXC
是否可以在较重的虚拟化环境(Xen DomU,KVM,Hyper-V,VMVare)下使用LXC?我想将其用作安全性(隔离)工具,限制资源消耗的能力对我而言并不是优先考虑的事情。我只是想以一种简单的方式来完成它。类似于在非虚拟服务器上使用LXC。我不想在生产服务器上使用过于棘手的设置。
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.