使用chroot监狱,监狱监狱或两者结合使用是否更安全?


9

我的一个朋友有一本基于xandros的Acer上网本,在她环游世界时一直在寻求远程管理和帮助。
我已经在她的上网本上设置了一个帐户供我ssh登录,并设置了一个脚本,以将ssh隧道从她的上网本反向发送到我的服务器-这使我可以解决各种旅馆和酒店的防火墙等问题。她将ssh放入我的服务器后,便可以ssh到她的上网本。

我有一个bash脚本,当她ssh进入我的服务器时会作为shell运行,这给了她一个“请稍候”的屏幕,唯一的选择是退出脚本,然后启动从服务器。

我在服务器上为她创建的用户权限较低,但是一定会有一些利用,这意味着她可以通过ssh访问我的服务器。

我正在考虑也使用chroot监狱,因此,如果她逃脱了,则只能访问她的主目录。
这是一个好主意吗?在保持我的服务器安全性同时仍允许我远程访问她的上网本的同时,我可能还错过了其他安全提示吗?

需要澄清的是,我认为她不会尝试从监狱或chroot逃脱,但我想知道如何以防万一。

更新:
对于我如何访问上网本或我可以放置在用户和硬件之间的其他层,您还有其他建议吗?

Answers:


3

您是否考虑过在防火墙通常不会按规则过滤的端口上设置VNC或其他远程控制应用程序?

一个示例配置将在笔记本上加载VNC(或其他类似的应用)。然后,运行您的笔记本脚本,以通过防火墙不会过滤的特定端口连接到服务器,以建立返回系统的路径。443可能是用于此目的的最佳端口,但其他端口也适用。然后,您可以直接从系统连接到VNC,或者将服务器上的端口复制到另一个端口号,然后仅连接到本地端口上的接口,端口重定向将帮助您将您连接到远端的另一个系统。

希望这可以帮助。


谢谢你的建议。我之所以没有考虑这一点,是因为我真的没有在Linux中看到许多vnc客户端使反向连接在Linux中显而易见。你知道吗
安迪

一种方法是使用能够以一种方式建立端口的TCP / IP程序。从外壳程序脚本使用telnet风格的连接自动执行此操作会很好。大多数telnet实施都允许您指定尝试连接的端口。
Axxmasterr

2

chroot监狱会有所帮助,但是利用允许某人进入shell的漏洞利用程序,他们仍然能够查看进程表等,并运行程序,甚至可以考虑进一步利用这些漏洞。如果您真的想隔离外部用户,可以在蚂蚁上使用榴弹炮,但是您可以为整个ssh隧道机制设置虚拟专用服务器。然后,他们可以做的最坏的事情就是丢弃VPS,除非它具有突破能力,否则这将是一个很高的标准。


我喜欢这个主意,但是,是的,用蒸汽压路机打碎胡桃木:)然后,如果我运行的服务器非常小,例如仅用于终端的uppy-linux作为服务器,它就不会像蒸汽压路机那样大。
安迪

2

保护计算机系统安全方面,我是深度防御策略的忠实拥护者,因此我建议您在chroot文件系统中使用低特权帐户,即使这样也不能保证,只要看看iPhone,它可以同时完成这两项工作,但仍然无济于事。


2

现在,我正在考虑对这种动物进行换肤的另一种方法是在SSH隧道内建立x会话流量的隧道,以替代使用VNC。您当前的设置已经到了一半。

在该计算机本地的特定端口上设置X功能,然后通过隧道将该端口转发给您自己,然后将其复制到您身边的端口上,以便您可以连接到服务器本地端口上的会话。

我发现对这种事情完全方便的另一件事是动态DNS。这将允许您设置一个可解析的FQDN,您可以在需要时查询该FQDN。DyDns在安装了它的系统上作为轻量级服务运行,并且只要IP地址信息发生更改,它就会更新记录。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.