Meie maailmas on palju, palju saladusi ... Ma ausalt öeldes ei usu, et suudaksin piisavalt õppida, et enamikku neist teada saada, ja selle annab lihtne fakt, et Linux lubab meil teha nii palju, kuid nii palju asju, et meil on neid kõiki raske teada.
Seekord selgitan, kuidas teha midagi äärmiselt kasulikku, mida paljud võrgu- või süsteemiadministraatorid on pidanud tegema, ja meil on olnud raske lihtsalt mitte leida üsna lihtsat viisi selle saavutamiseks:
Kuidas puurida kasutajaid, kes ühendavad SSH-i kaudu
puuri? ... WTF!
Jah. Kui peame mingil põhjusel andma SSH-le juurdepääsu oma sõbrale oma arvutisse (või serverisse), peame alati hoolitsema oma arvuti või serveri turvalisuse ja stabiilsuse eest.
Juhtub, et hiljuti tahtsime anda Perseus SSH-le juurdepääsu oma serverile, kuid me ei saa talle mingit tüüpi juurdepääsu anda, kuna meil on seal tõesti tundlikud konfiguratsioonid (oleme koostanud palju asju, pakette, mille oleme eraldi installinud jne ...) ja kui keegi, kes seda ei tee, Ükskõik, kas ma üritan serverisse vähimatki muudatust teha, on võimalus, et kõik läheb raisku hehe.
Siis Kuidas luua äärmiselt piiratud privileegidega kasutajat, nii et ta ei pääse isegi oma puurist välja (kodu)?
Alustame allalaadimisega vanglakomplekt, tööriist, mis võimaldab meil seda teha:
1. Kõigepealt peame oma JailKiti serveri alla laadima.
wget http://ftp.desdelinux.net/jailkit-2.14.tar.gz
2. Seejärel peame pakendi lahti pakkima ja sisestama äsja ilmunud kausta:
tar xzf jailkit-2.14.tar.gz && cd jailkit-2.14
3. Hiljem jätkasime tarkvara kompileerimist ja installimist (Jätan teile ekraanipildi):
./configure
make
make install
4. Valmis, see on juba installitud. Nüüd jätkame puuri loomist, mis sisaldab tulevasi kasutajaid. Minu puhul lõin selle: / opt / ja kutsusin seda "vanglasse", nii et tee oleks järgmine: / opt / vangla :
mkdir /opt/jail
chown root:root /opt/jail
5. Puur on juba loodud, kuid sellel pole kõiki vajalikke tööriistu, et seal viibivad tulevased kasutajad saaksid probleemideta töötada. Ma mõtlen, et kuni selle hetkeni on puur loodud, kuid see on lihtsalt tühi kast. Nüüd paneme puuri mõned tööriistad, mida puuris olevad kasutajad vajavad:
jk_init -v /opt/jail basicshell
jk_init -v /opt/jail editors
jk_init -v /opt/jail extendedshell
jk_init -v /opt/jail netutils
jk_init -v /opt/jail ssh
jk_init -v /opt/jail sftp
jk_init -v /opt/jail jk_lsh
6. Valmis, puur on olemas ja sellel on juba tööriistad, mida kasutaja saab kasutada ... nüüd vajame ainult ... kasutajat! Loome kasutaja kira ja me paneme selle puuri:
adduser kira
jk_jailuser -m -j /opt/jail kira
cat /etc/passwd | grep jk_chroot
Kui märkate, et ekraanipildi taolist ei ilmu, peate olema midagi valesti teinud. Jäta siia kommentaar ja ma aitan sind hea meelega.
7. Ja voila, kasutaja on juba puuris ... aga ta on NII puuris, et ta ei saa SSH-ga ühendust luua, sest kui server proovib ühendust luua, ei luba ta:
8. Kasutaja ühenduse loomiseks peame tegema veel ühe sammu.
Peame redigeerima puuri faili etc / passwd, see tähendab, et see oleks nii / opt / jail / etc / passwd , kommenteerime selles meie loodud kasutajaliini ja lisame uue, näiteks:
kira: x: 1003: 1003 :: / home / kira: / bin / bash
See tähendab, et meil oleks selline fail passwd:
juur: x: 0: 0: juur: / juur: / bin / bash
#kira: x: 1003: 1003: ,,,: / opt / vangla /./ kodu / kira: / usr / sbin / jk_lsh
kira: x: 1003: 1003 :: / home / kira: / bin / bash
Pange tähele ka kirjavahemärkide duplikaate ja teisi. Oluline on mitte ühtegi neist maha visata 🙂
Pärast seda saab kasutaja probleemideta sisestada 😀
Ja see on ka kõik.
Tööriist, mida selleks kõigeks kasutame (vanglakomplekt) kasutamine taustaprogrammis chroot, mida tegelikult kasutavad peaaegu kõik õpetused. Kuid JailKiti kasutamine muutub puurimiseks lihtsamaks 😉
Kui kellelgi on probleeme või midagi läheb halvasti, jätke võimalikult palju üksikasju, ma ei pea ennast eksperdiks, kuid aitan teid nii palju kui võimalik.
siis oleks see umbes nagu FTP õigused? huvitav
tulete alati välja kõigega, mille olemasolust te isegi ei teadnud, nagu näiteks mysql xD kasutajad
Mitte täpselt, sest SSH pole sama mis FTP. SSH on kest, see tähendab terminal ... oleksite teise arvuti või serveri terminalis, saaksite käske täita, protsesse käivitada jne ... teeksite nii palju, kui serveri administraator lubab 😉
hahahahaha nah tule, juhtub see, et ma avaldan rohkem tehnilisi asju ... see tähendab, et mulle meeldib avaldada pisiasju, mis pole nii populaarsed ja huvitavad. Näiteks ei kavatse ma isiklikult uue Ubuntu ilmumise päeval midagi avaldada, sest usun, et paljud räägivad sellest juba ... aga see, mida te siin postituses lugesite, kas pole see, mida iga kord loetakse päev või mitte? 😀
Väga head kaastööd aitäh
on olemas ka protokoll nimega sftp, mis on koos ftp ja Secure Shell, ehkki see pole sama mis FTP käivitamine SSH kaudu: \
seoses
Jah, jah, tõepoolest, kuid SSH-i puurimisel puurin puuri automaatselt kõik, kes ühendavad SFTP-d, sest nagu te ütlete, on SFTP tegelikult SSH + FTP
seoses
Pilte pole näha !!! 🙁
Minu väike viga hehe, ütle kohe 😀
Valmis. Aitäh 😀
väga hea, viitan oma lemmikutele, et see oleks saadaval, kui mul seda vaja on lol
Tänan teid, kui teil on küsimusi või probleeme, oleme siin, et teid aidata 🙂
Perseus on neil puuris. http://i.imgur.com/YjVv9.png
LOL
xD
Kuidas sul läheb.
Teate, see on teema, millega ma pole eriti kursis ja mida ma BSD-s (PC-BSD ja Ghost BSD) kontrollisin ning minu arvates on see väga huvitav ja funktsioonidega, mis võivad olla väga kasulikud.
Jätan selle viitamiseks ja kontrollin seda BSD dokumendiga. Tänan informatsiooni eest.
Ma ei olnud sellega kursis ka seetõttu, et ma ei mõelnud kunagi kellelegi SSH-le juurdepääsu andmist ühele oma serverist. peab 😀
Ma pole seda kunagi BSD-süsteemides proovinud, nii et ma ei saa teile öelda, et see töötab, kuid kui otsite, kuidas BSD-d kasutada, peaks midagi välja tulema 😉
Täname kommentaarisõbra eest 🙂
Tere, ma kasutan FreeBSD-d ja muidugi töötab jailkit seda tegelikult sadamates
Installite selle selle käsuga
cd / usr / ports / shells / jailkit / && teevad installi puhtaks
Või ftp pakettide abil
pkg_add -r jailkit
Ainult konfiguratsioonis (kira: x: 1003: 1003 :: / home / kira: / bin / bash)
Peate lisama tcsh või sh, kui te pole veel bashi installinud ja selle tee lisanud
/ usr / local / bin / bash
Ja veel mõned üksikasjad, Ghost BSD-s peaks see olema sarnane protsess veelgi lihtsam, kuna see põhineb FreeBSD-l
seoses
Suurepärane, ma otsisin seda; kas sa tead, kas see Centos töötab ?? aitäh.
Ma pole Centos seda testinud, aga jah, see peaks töötama :)
Tegelikult mäletan, et paljud on seda sama tööriista kasutanud Centose ja Red Hati serverites 😉
Tänud. See läheb otse järjehoidjate juurde.
Täname teid kommenteerimise eest 🙂
Väga hea "trikk", super kasulik sys administraatoritele. Kuid veelgi parem, suurepäraselt hästi kirjutatud. Mida veel tahta.
Tänan teid selle panuse eest.
Aitäh, suur aitäh kommentaari eest 😀
seoses
Kiida SSH-d haha
Kord proovisin teha puuri ssh-le, kuid traditsioonilises stiilis ja tõsi on see, et see ei tulnud kunagi õigesti välja. Kui puur jooksis, ei olnud sellel isegi bashi, see tähendab, et see ühendas ja midagi ei jäänud haha, kui kest töötab, võib see kataloogihierarhias üles tõusta ja palju rohkem quilombosid haha, kuid see jailkit on mace, see automatiseerib kõik need asjad ... Väga soovitatav
haha aitäh.
Jah, tegelikult on SSH kõik ime selle üle, mida see meile lubab, mis pole tegelikult midagi muud kui see, mida süsteem nii lubab ... Hurraa Linuxile! ... haha.
Tere, küsimus!
miks muuta kodu uueks (1) / opt / jail /./ home / kira asemel (2) / home / kira
Peame redigeerima puuri faili etc / passwd, see tähendab, et sel juhul oleks see / opt / jail / etc / passwd, selles kommenteerime loodud kasutajaliini ja lisame uue, näiteks:
kira: x: 1003: 1003 :: / home / kira: / bin / bash
Teisisõnu, passwd-fail näeks välja selline:
juur: x: 0: 0: juur: / juur: / bin / bash
(1) #kira: x: 1003: 1003: ,,,: / opt / vangla /./ kodu / kira: / usr / sbin / jk_lsh
(2) kira: x: 1003: 1003 :: / home / kira: / bin / bash
Tere 🙂
Kui seda pole määratud, ei toimi SSH-juurdepääs, kasutaja proovib ühenduse luua, kuid ta saadetakse automaatselt välja ... tundub, et see on viga või probleem tõlgiga, mille JailKit kaasa toob, sest selle muudatuse tegemisel käsib tal tavaline süsteemi põhitõde, kõik töötab.
Ma lõpetan endiselt ssh-seansi: C
Kasutage 10.1 x64
Tere, ma olen selle installinud ja see töötab sentides = D suurepäraselt
aga minu dua on nagu varemgi, et lisada rohkem käske näiteks vangla kasutajale
ei saa käsku svn co käivitada http://pagina.com/carpeta
Ma mõtlen, et seda käsku ei ole vangla kasutajate jaoks olemas, nagu ka tagasi, et lisada need käsud vanglasse ja pean veel palju lisama.
Tere kuidas sul läheb?
Kui soovite vanglas lubada käsu «svn», on teil käsk jk_cp
See on:
jk_cp / opt / jail / / bin / svn
See eeldab, et binaarne või käivitatav fail svn on: / bin / svn
Ja las puur / vangla olla: / opt / jail /
Leiate käske, mis sõltuvad teistest, st kui lisate käsu «pepe», näete, et peate lisama ka «federico», sest «pepe» sõltub käivitatavast «federico» -st, kui leiate selle siis lisate vajalikud käsud ja juba 😉
See on suurepärane, ma katsetan seda samal ajal ja ma ütlen teile, mis juhtus, suur aitäh = D
Õnn 😀
Mul on õnnestunud teha seda, mida te mulle ütlesite, kuid nii ja automaatselt on see mind probleemideta tuvastanud. See oli käsk, mida ma varem oskasin kasutada alamversiooni jaoks.
jk_cp -j / home / jaul svn
Noh, ma kasutan centos xP-d ja võib-olla on see teistsugune, kuid hea
nüüd tahaksin teada, millised on sellised raamatukogud nagu svn, kuid nüüd tahaksin neid kompileerida, sest ütleme, et pean kasutama sellist käsku
./konfigureeri ja märkige viga
./configure.lineno: rida 434: expr: käsku ei leitud
Ma ei tea, millised on need raamatukogud, mis mul on juba installitud, mis on mysql ja teised, kui see kompileerub väljaspool vanglat, kuid mitte jaui sees.
vabandust ebamugavuste pärast.
ps: peaksite juhendisse lisama selle, mida ma teile sentides kasutatud käsu kohta ütlesin =).
Kui ma ütlen teile, et see ei leia käsku (nagu siin), on esimene asi see käsk leida:
whereis exprKui see on leitud (/ usr / bin / expr ja / usr / bin / X11 / expr), kopeerime selle vangi koos jk_cp 😉
Proovige seda näha.
Jep, ma juba redigeerin postitust ja lisan, et see töötab Centos 😀
Suur aitäh teile väga (:
Täname sisendi eest ...
Tere kuidas sul läheb?
Kurat kutt! Tšiilist minu tervitused. Sa oled sama pieru nagu mina! LOL !. Kallistused. Teie postitus on mulle suureks abiks olnud!
Täname teid kommentaari eest 😀
Suur aitäh postituse eest, see aitas mind palju, kuid kahjuks osas
//////////////////////////////////////////////////// // ////////////////////////////////////////////////// //// ////////////////////////
Peame redigeerima puuri faili etc / passwd, see tähendab, et sel juhul oleks see / opt / jail / etc / passwd, selles kommenteerime loodud kasutajaliini ja lisame uue, näiteks:
kira: x: 1003: 1003 :: / home / kira: / bin / bash
Teisisõnu, passwd-fail näeks välja selline:
juur: x: 0: 0: juur: / juur: / bin / bash
#kira: x: 1003: 1003: ,,,: / opt / vangla /./ kodu / kira: / usr / sbin / jk_lsh
kira: x: 1003: 1003 :: / home / kira: / bin / bash
//////////////////////////////////////////////////// //// ////////////////////////////////////////////
See põhjustab mulle sama vea, see tähendab, et jätan selle sellisena nagu see on, ja see käivitab mind terminalist ühenduse loomisel ,,, .., kommenteerin rida ja lisan veel ühe selle muutmise, nagu te märkite, ja see saapad mind ...
Installige uusim versioon "jailkit-2.16.tar", aja säästmiseks looge isegi skript, siin on allpool:
//////////////////////////////////////////////////// // ////////////////////////////////////////////////
#! / bin / bash
wget http://olivier.sessink.nl/jailkit/jailkit-2.16.tar.gz
tar -zxvf jailkit -2.16 .tar.gz
cd jailkit-2.16
. / Configure
tegema
make install
väljumiseks
//////////////////////////////////////////////////// //// /////////////////////////////
Ilmselt logivad nad kõigepealt sisse kui "root" ...
Kuidas ma saaksin vea sõbra lahendada ????
Vabandust, ma sain selle juba kätte, olin teinud kausta Kodu osas vea, kuid mul on suur kahtlus, kuidas ma saan selle lubada mul käsku "ekraan" täita, proovin seda kasutada (puuris oleva kasutaja puhul) , kuid see ei tööta ... Teine asi on see, et kuidas ma saan selle puuris oleva kasutaja veini programmi juhtima exe-l, mille ta lihtsalt oma koju pani, kuidas see oleks?
tere, väga hea tuto! Olen neis keskkondades uus, mul on küsimus ...
Mis puutub turvalisusesse, siis näen, et selle juurkatal on palju kaustu, kas need on vajalikud? Ma tahan lihtsalt, et tal oleks rakenduse käitamiseks juurdepääs oma kaustale (ftp-upload ja ssh-execute). Milliseid kaustu saaks ta juurest kustutada? või ei kujuta see mulle mingit ohtu? Hindan teie abi ette, tervitused!
@ KZKG ^ Gaara, tänan õnne, et panid vilistava vea, kuid jailkit-2.16.tar.gz versiooniga, mille soovitasid neil selle parandada
http://olivier.sessink.nl/jailkit/jailkit-2.16.tar.gz
Ma arvan, et edastan selle PDF-ile, jojo .. puurile ja tänan wn 😀
Tervitussõber, mul on küsimus:
Oletame, et meil on kasutaja nimega "test".
Küsimus on selles, kas fail /home/test/.ssh/known_hosts, mis asub selle kasutaja kodus, kas fail on kasutajaga sama või pole puuris?
Proovi seda. Selle meetodi abil on võimalik piirata navigeerimist teiste kasutajate teise koduga.
Esiteks aitäh postituse eest! See on mulle väga kasulik; kuid mul on kaks kahtlust ja need tulenevad minu stsenaariumist:
Pean looma N kasutajat, kellel on oma kodule iseseisev ja privaatne juurdepääs, iga kasutaja saab oma koju juurde pääseda ainult seal sisalduvate failide hoiustamiseks, muutmiseks ja kustutamiseks, ilma et peaksin teiste juurde liikuma (mul on see punkt juba olemas). See ei vaja juurdepääsu ssh kaudu.
1. Kas peate looma puuri igale kasutajale või on võimalik, et erinevad kasutajad oleksid ühes puuris, kuid kõigil oleks oma "privaatne" kataloog?
2. Kas (kuidas FTP kliendi kaudu) kuvatakse kõiki tööriista loodud katalooge, kas on võimalik kausta puhtana näidata? Või tegin teel midagi valesti?
Suurepärane õpetus! See on mulle suureks abiks olnud, testin seda Ubuntu 2.17 versiooniga 14.04 ja see töötab väga hästi. Nüüd on mul järgmine väljakutse. Kui kasutaja on puuris nii, et ta ei saa ühele teele liikuda, tahan, et ta näeks ainult teisel teel asuva faili sisu. Proovisin sümboolse lingiga, kuid kui proovin sellele failile saba või kassi teha, ütleb see mulle, et seda pole olemas, kuigi kasutajaga juurdepääsemisel saan selle faili puuri koju loetleda.
Kui saaksite mind aidata, oleksin väga tänulik, tänan teid ette
Tere, olen järginud kogu juhendit ja kui ssh-ga sisse logida, sulgub see automaatselt, jälgib:
4. detsember 19:20:09 sshd [27701]: aktsepteeritud parool testimiseks alates 172.16.60.22 pordist 62009 ssh2
4. detsember 19:20:09 sshd [27701]: pam_unix (sshd: session): seanss avati kasutaja testimiseks (uid = 0)
4. detsember 19:20:09 toby jk_chrootsh [27864]: sisestades nüüd argumentide abil vanglasse / opt / vanglasse kasutajate testi (1004)
4. detsember 19:20:09 sshd [27701]: pam_unix (sshd: session): seanss on kasutaja testiks suletud
tänan
Mitte siis, kui ma sooritan kasutajale ssh-i juurdepääsu viimase sammu, sulgeb see ikkagi ühenduse 🙁
Kas sellel loodud kasutajal on võimalik vahetada juurkasutusse? sinu -juur? see ei lase mul. Kuidas see oleks? Tänan teid abi eest
Suur aitäh õpetuse eest, vajasin seda kasutaja loomiseks, kes saaks klonezilla abil pilti teha ja kolmanda osapoole serverisse kopeerida, kuid kes ei suutnud kuhugi minna, kuhu tahtis
Hea! Mul oleks vaja midagi teada.
Kas on võimalik siseneda ROOT-iga FTP-ga ja nende õigustega, hallata seda FTP-ga, mitte SSH-ga? Oletame näiteks, et loome ühenduse, tunneli stiili vms. Kuidas seda tehakse? Kas konfigureerida VSFTPD-faili?
Tänan sind väga!