Maailmassamme on monia, monia salaisuuksia ... En rehellisesti usko, että voin oppia tarpeeksi tuntemaan suurimman osan niistä, ja tämän antaa yksinkertainen tosiasia, että Linux antaa meille mahdollisuuden tehdä niin monia, mutta niin monia asioita, että se on meidän on vaikea tuntea heitä kaikkia.
Tällä kertaa selitän teille, miten tehdä jotain erittäin hyödyllistä, jotain, joka monien verkko- tai järjestelmänvalvojien on tarvinnut tehdä, ja on ollut vaikeaa yksinkertaisesti olla löytämättä melko yksinkertaista tapaa saavuttaa se:
SSH: n kautta yhteyden muodostavien käyttäjien häkittäminen
häkki? … MITÄ VITTUU!
Kyllä. Jos meidän on jostain syystä annettava SSH: lle pääsy ystävällemme tietokoneellemme (tai palvelimellemme), meidän on aina huolehdittava tietokoneen tai palvelimen turvallisuudesta ja vakaudesta.
Sattuu, että äskettäin halusimme antaa Perseus SSH: lle pääsyn palvelimellemme, mutta emme voi antaa hänelle minkäänlaista pääsyä, koska meillä on siellä todella arkaluonteisia kokoonpanoja (olemme koonneet monia asioita, paketteja, jotka olemme asentaneet erikseen jne.). .) ja jos joku ei, yritänkö tehdä pienintäkään muutosta palvelimelle, on mahdollista, että kaikki menee hukkaan hehe.
Sitten, Kuinka luoda käyttäjä, jolla on äärimmäisen rajoitetut oikeudet, niin että hän ei pääse edes ulos häkistään (koti)?
Aloitetaan lataamalla vankila, työkalu, jonka avulla voimme tehdä tämän:
1. Ensin meidän on ladattava JailKit-palvelimemme.
wget http://ftp.desdelinux.net/jailkit-2.14.tar.gz
2. Sitten meidän on purettava paketti ja syötettävä juuri ilmestynyt kansio:
tar xzf jailkit-2.14.tar.gz && cd jailkit-2.14
3. Myöhemmin jatkoimme ohjelmiston kääntämistä ja asentamista (Jätän sinulle kuvakaappauksen):
./configure
make
make install
4. Valmiina, tämä on jo asennettu. Luodaan nyt häkki, joka sisältää tulevia käyttäjiä. Minun tapauksessani olen luonut sen: / opt / ja kutsunut sitä "vankilaksi", joten polku olisi: / opt / vankila :
mkdir /opt/jail
chown root:root /opt/jail
5. Häkki on jo luotu, mutta siinä ei ole kaikkia tarvittavia työkaluja, jotta siellä olevat tulevat käyttäjät voivat työskennellä ongelmitta. Tarkoitan, että tähän asti häkki on luotu, mutta se on vain tyhjä laatikko. Nyt laitamme häkkiin joitain työkaluja, joita häkissä olevat käyttäjät tarvitsevat:
jk_init -v /opt/jail basicshell
jk_init -v /opt/jail editors
jk_init -v /opt/jail extendedshell
jk_init -v /opt/jail netutils
jk_init -v /opt/jail ssh
jk_init -v /opt/jail sftp
jk_init -v /opt/jail jk_lsh
6. Valmis, häkki on olemassa ja sillä on jo työkalut, joita käyttäjä voi käyttää ... nyt tarvitsemme vain ... käyttäjän! Luodaan käyttäjä kira ja panemme sen häkkiin:
adduser kira
jk_jailuser -m -j /opt/jail kira
cat /etc/passwd | grep jk_chroot
Jos huomaat, että mitään kuvakaappauksen kaltaista ei näy, olet tehnyt jotain väärin. Jätä kommentti tähän ja autan mielelläni sinua.
7. Ja voila, käyttäjä on jo häkissä ... mutta hän on niin häkissä, että hän ei voi muodostaa yhteyttä SSH: n kautta, koska kun hän yrittää muodostaa yhteyden palvelimeen, se ei anna hänen:
8. Jotta käyttäjä voi muodostaa yhteyden, meidän on tehtävä vielä yksi askel.
Meidän on muokattava häkin etc / passwd-tiedostoa, eli tässä tapauksessa se olisi / opt / jail / etc / passwd , siinä kommentoimme luomaa käyttäjäriviä ja lisätään uusi, kuten:
kira: x: 1003: 1003 :: / home / kira: / bin / bash
Eli meillä olisi tällainen tiedosto passwd:
root x: 0: 0: root: / root: / bin / bash
#kira: x: 1003: 1003: ,,,: / opt / vankila /./ koti / kira: / usr / sbin / jk_lsh
kira: x: 1003: 1003 :: / home / kira: / bin / bash
Huomaa hyvin päällekkäiset välimerkit ja muut, on tärkeää, ettet pudota mitään niistä 🙂
Tämän jälkeen käyttäjä voi syöttää ongelmitta 😀
Ja siinä kaikki.
Työkalu, jota käytämme tähän kaikkeen (vankila) käyttö taustalla chroot, jota oikeastaan kaikki opetusohjelmat käyttävät. JailKitin käyttäminen häkissä on kuitenkin yksinkertaisempaa 😉
Jos jollakin on ongelma tai jokin on vialla, jätä mahdollisimman paljon yksityiskohtia, en pidä itseäni asiantuntijana, mutta autan sinua niin paljon kuin pystyn.
niin se olisi jotain FTP: n käyttöoikeuksien kaltaista? mielenkiintoista
Tulet aina esiin kaikella, mitä et edes tiennyt olemassaolosta, kuten mysql xD: n käyttäjät
Ei tarkalleen, koska SSH ei ole sama kuin FTP. SSH on kuori eli pääte ... olisit toisen tietokoneen tai palvelimen päätelaitteessa, voisit suorittaa komentoja, käynnistää prosesseja jne ... tekisit niin paljon kuin palvelimen järjestelmänvalvoja sallii you
hahahahahaha nah tule, tapahtuu, että julkaisen enemmän teknisiä asioita ... eli haluan julkaista pieniä asioita, jotka eivät ole niin suosittuja ja mielenkiintoisia. Esimerkiksi, en henkilökohtaisesti aio julkaista jotain uuden Ubuntun ilmestymispäivänä, koska uskon, että monet puhuvat siitä jo ... mutta mitä luet tästä viestistä, eikö se ole jotain, jota luetaan joka kerta päivä vai ei? 😀
Erittäin hyvät panokset kiitos
on myös protokolla nimeltä sftp, joka on ftp ja Secure Shell yhdessä, vaikka se ei ole sama kuin FTP: n suorittaminen SSH: n kautta: \
terveiset
Kyllä kyllä, mutta häkissä SSH: n avulla häkin automaattisesti kuka tahansa, joka muodostaa yhteyden SFTP: llä, koska kuten sanot, SFTP on itse asiassa SSH + FTP 😀
terveiset
Kuvia ei voi nähdä !!! 🙁
Pieni virheeni hehe, kerro nyt 😀
Valmis. Kiitos 😀
erittäin hyvä, osoitan sen suosikkeihini, jotta se olisi saatavilla, kun tarvitsen sitä lol
Kiitos, sinulla on kysyttävää tai ongelmia, olemme täällä auttamassa sinua 🙂
Heillä on Perseus häkissä. http://i.imgur.com/YjVv9.png
LOL
xD
Mitä kuuluu.
Tiedät, se on aihe, jota en tunne kovin hyvin ja jota olin tarkistanut BSD: ssä (PC-BSD ja Ghost BSD), ja mielestäni se on erittäin mielenkiintoinen ja toiminnallisuudella, joka voi olla erittäin hyödyllinen.
Säilytän sen viitteeksi ja tarkistan sen BSD-asiakirjaan nähden. Kiitos tiedoista.
Minäkään en ollut perehtynyt tähän, koska en koskaan ajatellut antaa SSH: lle pääsyä mihinkään palvelimiini haha, mutta kun huomasin tarpeen tehdä niin, halusin antaa pääsyn, mutta ilman mahdollisuutta, että joku voisi vahingossa tehdä jotain sen ei tarvinnut 😀
En ole koskaan kokeillut tätä BSD-järjestelmissä, joten en voi kertoa, että se toimii, mutta jos etsit miten chroot BSD: ssä, jotain pitäisi tulla ulos 😉
Kiitos kommenttikaveristasi 🙂
Hei, käytän FreeBSD: tä ja tietysti jailkit toimii itse asiassa tässä satamissa
Asennat sen tällä komennolla
cd / usr / ports / shellit / jailkit / && tekevät asennuksesta puhtaan
Tai ftp-paketilla
pkg_add -r jailkit
Vain kokoonpanossa (kira: x: 1003: 1003 :: / home / kira: / bin / bash)
Sinun on lisättävä tcsh tai sh, ellet ole asentanut bashiä ja lisäät tämän polun
/ usr / local / bin / bash
Ja vielä muutama yksityiskohta, Ghost BSD: ssä sen pitäisi olla samanlainen prosessi vielä helpompaa, koska se perustuu FreeBSD: hen
terveiset
Hienoa, etsin sitä; tiedätkö, toimiiko Centos ?? Kiitos.
En ole testannut sitä Centosissa, mutta kyllä sen pitäisi toimia :)
Itse asiassa muistan, että useat ovat käyttäneet samaa työkalua Centos- ja Red Hat -palvelimilla 😉
Kiitos paljon. Se menee suoraan kirjanmerkkeihin.
Kiitos kommentoinnista 🙂
Erittäin hyvä "temppu", erittäin hyödyllinen järjestelmänvalvojille. Mutta vielä parempi, erinomaisesti hyvin kirjoitettu. Mitä muuta voisit haluta.
Paljon kiitoksia panoksesta.
Kiitos, kiitos paljon kommentistasi 😀
terveiset
Ylistys SSH haha
Kerran yritin tehdä häkin ssh: lle, mutta perinteisellä tyylillä ja totuus on, että se ei koskaan tullut oikein. Jos häkki oli käynnissä, siinä ei ollut edes bashia, toisin sanoen, se oli yhteydessä ja mitään ei ollut jäljellä haha, jos kuori toimi, se voisi nousta hakemistohierarkiassa ja paljon enemmän quilomboja haha mutta tämä jailkit on huijaus, se automatisoi kaikki nuo ... suositeltavat asiat
Haha kiitos.
Kyllä, SSH on itse asiassa ihme, mitä se antaa meille, mikä ei todellakaan ole muuta kuin mitä järjestelmä sallii niin ... Hurraa Linuxille! … Haha.
Hei, kysymys!
miksi vaihtaa kotia (1) / opt / jail /./ home / kira-tilasta (2) / home / kira
Meidän on muokattava häkin tiedostoa etc / passwd, eli tässä tapauksessa se olisi / opt / jail / etc / passwd, siinä kommentoimme luomaa käyttäjäriviä ja lisäämme uuden, kuten:
kira: x: 1003: 1003 :: / home / kira: / bin / bash
Toisin sanoen passwd-tiedosto näyttäisi tältä:
root x: 0: 0: root: / root: / bin / bash
(1) #kira: x: 1003: 1003: ,,,: / opt / vankila /./ koti / kira: / usr / sbin / jk_lsh
(2) kira: x: 1003: 1003 :: / home / kira: / bin / bash
Hei 🙂
Jos sitä ei ole asetettu, SSH-yhteys ei toimi, käyttäjä yrittää muodostaa yhteyden, mutta karkotetaan automaattisesti ... se näyttää olevan JailKitin tuoman virheen tai ongelman tulkin kanssa, koska tehdessään tämän muutoksen osoittaa, että se käyttää normaali bash-järjestelmä, kaikki toimii.
Lopetan edelleen ssh-istunnon: C
Suse 10.1 x 64
Hei, olen asentanut tämän ja se toimii erinomaisella mielellä sentteinä = D
mutta dua on kuin aikaisemmin lisätä komentoja esimerkiksi vankilakäyttäjälle
ei voi suorittaa svn co -komentoa http://pagina.com/carpeta
Tarkoitan, että tätä komentoa ei ole vankilakäyttäjille tässä tapauksessa, kuten aiemmin, lisätäksesi nämä komennot vankilaan, ja minun on lisättävä monia muita.
Hei, kuinka voit?
Jos haluat ottaa komennon «svn» vankilaan, sinulla on komento jk_cp
Tuo on:
jk_cp / opt / jail / / bin / svn
Tämä olettaen, että svn-binaari tai suoritettava tiedosto on: / bin / svn
Ja anna häkin / vankilan olla: / opt / jail /
Löydät toisista riippuvia komentoja, toisin sanoen, jos lisäät komennon «pepe», huomaat, että sinun on lisättävä myös «federico», koska «pepe» riippuu suoritettavasta «federicosta», jos löydät tämän silloin lisäät tarvittavat komennot ja jo 😉
Se on erinomaista, testaan sitä samanaikaisesti ja kerron sinulle mitä tapahtui, kiitos paljon = D
Onnea 😀
Olen onnistunut tekemään sen, mitä kerroit minulle, mutta tällä tavoin ja automaattisesti se on havainnut sen ilman mitään ongelmia. Tämä oli komento, jolla pystyin käyttämään subversionia.
jk_cp -j / home / jaul svn
No, käytän centos xP: tä ja ehkä se on erilainen, mutta hyvä
nyt haluaisin tietää, mitkä ovat kirjastot, kuten svn, mutta nyt haluaisin kääntää, koska sanotaan, että minun on käytettävä tällaista komentoa
./konfiguroi ja merkitse virhe
./configure.lineno: rivi 434: lausetta: komentoa ei löydy
En tiedä, mitkä ovat kirjastot, jotka olen jo asentanut, mikä on mysql ja muut, jos se kääntyy vankilan ulkopuolelle, mutta ei jauin.
Anteeksi häiriö.
ps: sinun tulisi laittaa oppaaseen se, mitä kerroin centoissa käytetystä komennosta =) tervehdyksissä.
Katsokaa, kun sanon teille, että se ei löydä komentoa (kuten täällä), ensimmäinen asia on löytää komento:
whereis expr
Kun se on löydetty (/ usr / bin / expr ja / usr / bin / X11 / expr), kopioimme sen vankilaan jk_cp 😉
Kokeile tätä nähdäksesi.
Jep, olen jo muokannut viestiä ja lisän, että se toimii Centosissa 😀
Suuri kiitos paljon (:
Kiitos panoksesta ...
Hei, kuinka voit?
Vittu kaveri! Chilestä tervehdykseni. Olet yhtä pieru kuin minä! LOL!. Halauksia. Viestisi on ollut minulle suuri apu!
Kiitos kommentistasi 😀
Kiitos paljon viestistä, se auttoi minua paljon, mutta valitettavasti osassa
//////////////////////////////////////////////////// // ////////////////////////////////////////////////// ////// //////////////////////
Meidän on muokattava häkin tiedostoa etc / passwd, eli tässä tapauksessa se olisi / opt / jail / etc / passwd, siinä kommentoimme luomaa käyttäjäriviä ja lisäämme uuden, kuten:
kira: x: 1003: 1003 :: / home / kira: / bin / bash
Toisin sanoen passwd-tiedosto näyttäisi tältä:
root x: 0: 0: root: / root: / bin / bash
#kira: x: 1003: 1003: ,,,: / opt / vankila /./ home / kira: / usr / sbin / jk_lsh
kira: x: 1003: 1003 :: / home / kira: / bin / bash
//////////////////////////////////////////////////// //// ////////////////////////////////////////////
Se aiheuttaa minulle saman virheen, tarkoitan, jätän sen sellaisena kuin se on, ja se käynnistää minut päätelaitteesta, kun muodostan yhteyden ,,, .., kommentoin linjaa ja lisätään vielä yksi muokkaus, kuten ilmoitat, ja se myös saappaat minut ...
Asenna uusin versio "jailkit-2.16.tar", luo jopa skripti säästääksesi aikaa, tässä on alla:
//////////////////////////////////////////////////// // ////////////////////////////////////////////////
#! / Bin / bash
wget http://olivier.sessink.nl/jailkit/jailkit-2.16.tar.gz
terva -zxvf jailkit-2.16.tar.gz
cd jailkit-2.16
. / Määritä
tehdä
make install
poistua
//////////////////////////////////////////////////// //// ///////////////////////////
Ilmeisesti ensin he kirjautuvat sisään "root" -palveluna ...
Kuinka voin ratkaista virhekaverin ????
Anteeksi, sain jo sen, olin tehnyt virheen Koti-kansiossa, mutta minulla on suuri epäilys, kuinka saan sen antaa minun suorittaa "näyttö" -komennon, yritän käyttää sitä (häkissä olevaan käyttäjään) , mutta se ei toimi ... Toinen asia on se, miten saan tämän häkissä olevan käyttäjän suorittamaan viiniohjelmaa exe: llä, jonka hän vain laittoi kotiinsa, miten se olisi?
hei, erittäin hyvä tuto! Olen uusi näissä ympäristöissä, minulla on kysymys ...
Turvallisuuden osalta näen, että juuressa on monia kansioita, ovatko ne välttämättömiä? Haluan vain, että hänellä on pääsy kansioonsa (ftp-upload ja ssh-execute) sovelluksen ajamiseksi. Mitä kansioita hän voisi poistaa juuresta? vai eikö se aiheuta mitään vaaraa minulle? Arvostan apuasi etukäteen, terveisiä!
@ KZKG ^ Gaara, kiitos jumalalle, että laitoit vinkuvan virheen, mutta jailkit-2.16.tar.gz -versiolla, jonka ehdotit heidän korjaan
http://olivier.sessink.nl/jailkit/jailkit-2.16.tar.gz
Luulen, että välitän sen PDF-tiedostoon, jojo .. häkkiin ja kiitos wn 😀
Terveisiä ystäväni, minulla on kysymys:
Oletetaan, että meillä on käyttäjä nimeltä "testi".
Kysymys kuuluu, tiedosto /home/test/.ssh/known_hosts, joka sijaitsee kyseisen käyttäjän kotona, onko se sama tiedosto vai ei käyttäjän häkissä?
Kokeile tätä. Tällä menetelmällä on mahdollista rajoittaa navigointi muiden käyttäjien toiseen kotiin.
Ensinnäkin, kiitos postista! Se on erittäin hyödyllinen minulle; mutta minulla on kaksi epäilystä, ja nämä johtuvat skenaariostani, jonka minulla on:
Minun on luotava N käyttäjää, joilla on itsenäinen ja yksityinen pääsy kotiinsa, jokainen käyttäjä voi käyttää kotiaan vain tallettaakseen, muokata ja poistaa siellä olevia tiedostoja joutumatta siirtymään muiden luokse (minulla on jo tämä kohta). Se ei vaadi pääsyä ssh: n kautta.
1. Onko sinun luotava häkki kullekin käyttäjälle, vai onko olemassa tapa, jolla eri käyttäjät ovat samassa häkissä, mutta jokaisella on oma "yksityinen" hakemistonsa?
2. Kun käytät (FTP-asiakkaan kautta) kaikkia työkalun luomia hakemistoja, näytetäänkö kansio puhtaana? Vai olinko tehnyt jotain väärin matkan varrella?
Erinomainen opetusohjelma! Se on ollut minulle suuri apu, testaan sitä versiolla 2.17 Ubuntu 14.04: ssä ja se toimii erittäin hyvin. Nyt minulla on seuraava haaste, kun käyttäjä on asetettu häkkiin, jotta hän ei voi siirtyä mille tahansa polulle, haluan hänen näkevän vain toisella polulla olevan tiedoston sisällön. Yritin symbolisella linkillä, mutta kun yritin tehdä hännän tai kissan tähän tiedostoon, se kertoo minulle, että sitä ei ole olemassa, vaikka voin luetteloida tiedoston käyttäjän kanssa häkin kotiin.
Jos voisit auttaa minua, olisin kiitollinen, kiitos etukäteen
Hei, olen seurannut koko käyttöohjetta ja kun kirjaudun sisään ssh: llä, se sulkeutuu automaattisesti, jäljittää:
4. joulukuuta 19:20:09 sshd [27701]: Hyväksytty salasana testiin 172.16.60.22 -portista 62009 ssh2
4. joulukuuta 19:20:09 sshd [27701]: pam_unix (sshd: session): istunto on avattu käyttäjän testattavaksi (uid = 0)
4. joulukuuta 19:20:09 jk_chrootsh [27864]: siirtyy nyt vankilaan / opt / vankilaan käyttäjätestiin (1004) argumenteilla
4. joulukuuta 19:20:09 sshd [27701]: pam_unix (sshd: session): istunto suljettu käyttäjän testausta varten
kiitos
Ei, kun teen viimeisen vaiheen antaa ssh-käyttöoikeuden käyttäjälle, se silti sulkee yhteyden 🙁
Voidaanko tästä luotusta käyttäjästä muuttaa juureksi? sinun -juuri? se ei anna minun. Kuinka se olisi? Kiitos avustasi
Paljon kiitoksia opetusohjelmasta, tarvitsin sen sellaisen käyttäjän luomiseen, joka voisi käyttää clonezillaa kuvan tekemiseen ja kopioimiseen kolmannen osapuolen palvelimelle, mutta joka ei voinut parvella missä tahansa
Hyvä! Minun olisi tiedettävä jotain.
Onko mahdollista päästä ROOT: ksi FTP: llä ja jolla on nämä oikeudet, hallita sitä FTP: llä eikä SSH: llä? Oletetaan esimerkiksi, että luodaan yhteys, tunnelityyli tai jotain sellaista. Kuinka se tehdään? Määritetäänkö VSFTPD-tiedosto?
Kiitos paljon!