U naลกem svijetu postoji mnogo, puno tajni ... Iskreno, mislim da ne mogu nauฤiti dovoljno da znam veฤinu njih, a to daje jednostavna ฤinjenica da nam Linux omoguฤuje toliko, ali toliko stvari da je to teลกko ih je znati sve.
Ovaj put ฤu vam objasniti kako uฤiniti neลกto izuzetno korisno, neลกto ลกto su morali uฤiniti mnogi mreลพni ili sistemski administratori, a bilo nam je teลกko jednostavno ne pronaฤi priliฤno jednostavan naฤin da to postignemo:
Kako umreลพiti korisnike koji se povezuju putem SSH-a
kavez? โฆ WTF!
Da. Ako iz bilo kojeg razloga moramo svom raฤunalu (ili posluลพitelju) omoguฤiti SSH pristup naลกem prijatelju, uvijek moramo voditi raฤuna o sigurnosti i stabilnosti svog raฤunala ili posluลพitelja.
Dogaฤa se da smo nedavno ลพeljeli Perseusu SSH omoguฤiti pristup naลกem posluลพitelju, ali ne moลพemo mu dati bilo kakav pristup jer tamo imamo stvarno osjetljive konfiguracije (sastavili smo mnoge stvari, pakete koje smo instalirali pojedinaฤno itd.) I ako netko tko ne Bez obzira pokuลกavam li napraviti i najmanju promjenu na posluลพitelju, postoji moguฤnost da ฤe sve propasti hehe.
Zatim, Kako stvoriti korisnika s izuzetno ograniฤenim privilegijama, toliko da ne moลพe izaฤi ni iz svog kaveza (doma)?
Krenimo s preuzimanjem zatvorski komplet, alat koji ฤe nam to omoguฤiti:
1. Prvo moramo preuzeti naลก JailKit posluลพitelj.
wget http://ftp.desdelinux.net/jailkit-2.14.tar.gz
2. Zatim moramo raspakirati paket i unijeti mapu koja se upravo pojavila:
tar xzf jailkit-2.14.tar.gz && cd jailkit-2.14
3. Kasnije smo nastavili kompajlirati i instalirati softver (Ostavljam vam snimak zaslona):
./configure
make
make install
4. Spremno, ovo je veฤ instalirano. Sada nastavljamo s stvaranjem kaveza koji ฤe sadrลพavati buduฤe korisnike, u mom sluฤaju sam ga kreirao u: / opt / i nazvao ga "zatvor", pa bi put bio: / opt / zatvor :
mkdir /opt/jail
chown root:root /opt/jail
5. Kavez je veฤ stvoren, ali nema sve potrebne alate kako bi buduฤi korisnici koji ฤe biti tamo mogli raditi bez problema. Mislim, do sada je kavez stvoren, ali to je samo prazan okvir. Sada ฤemo u kavez staviti neke alate koji ฤe trebati korisnicima u kavezu:
jk_init -v /opt/jail basicshell
jk_init -v /opt/jail editors
jk_init -v /opt/jail extendedshell
jk_init -v /opt/jail netutils
jk_init -v /opt/jail ssh
jk_init -v /opt/jail sftp
jk_init -v /opt/jail jk_lsh
6. Spremno, kavez postoji i veฤ ima alate koje bi korisnik mogao koristiti ... sada nam treba samo ... korisnik! Stvorimo korisnika Kira i stavit ฤemo ga u kavez:
adduser kira
jk_jailuser -m -j /opt/jail kira
cat /etc/passwd | grep jk_chroot
Ako primijetite da se ne pojavljuje niลกta poput snimke zaslona, โโsigurno ste uฤinili neลกto pogreลกno. Ostavite komentar ovdje i rado ฤu vam pomoฤi.
7. I voila, korisnik je veฤ u kavezu ... ali, TAKO je u kavezu, da se ne moลพe povezati SSH-om, jer kada se pokuลกava povezati, posluลพitelj mu to ne dopuลกta:
8. Da bismo omoguฤili korisniku povezivanje, moramo napraviti joลก jedan korak.
Moramo urediti datoteku etc / passwd kaveza, to jest, u ovom sluฤaju bi to bilo / opt / jail / etc / passwd , u njemu komentiramo korisniฤku liniju koju smo stvorili i dodajemo novu poput:
kira: x: 1003: 1003 :: / home / kira: / bin / bash
Odnosno, imali bismo ovakav spis passwd:
root: x: 0: 0: root: / root: / bin / bash
#kira: x: 1003: 1003: ,,,: / opt / jail /./ home / kira: / usr / sbin / jk_lsh
kira: x: 1003: 1003 :: / home / kira: / bin / bash
Obratite pozornost na duplicirane interpunkcijske znakove i tako dalje, vaลพno je ne propustiti nijedan ๏
Nakon ลกto to uฤini, korisnik ฤe moฤi uฤi bez problema ๏
I to je sve.
Alat koji koristimo za sve ovo (zatvorski komplet) koristiti u pozadini chroot, ลกto zapravo koriste gotovo svi tutorijali. Meฤutim, koriลกtenje JailKita olakลกava drลพanje u kavezu ๏
Ako netko ima problem ili neลกto nije u redu, ostavite ลกto viลกe detalja, ne smatram se struฤnjakom, ali pomoฤi ฤu vam koliko mogu.
onda bi to bilo neลกto poput dozvola u FTP-u? zanimljiv
uvijek izaฤete sa svime za ลกto niste ni znali da postoji, poput korisnika u mysql xD
Ne baลก, jer SSH nije isto ลกto i FTP. SSH je ljuska, odnosno terminal ... bili biste u terminalu na drugom raฤunalu ili posluลพitelju, mogli biste izvrลกavati naredbe, pokretati procese itd. ... uฤinili biste onoliko koliko vam administrator posluลพitelja dozvoli ๐
hahahahahaha ne, hajde, dogaฤa se to ลกto objavljujem viลกe tehniฤkih stvari ... odnosno volim objavljivati โโsitnice koje nisu toliko popularne i zanimljive. Na primjer, osobno ne planiram objaviti neลกto na dan kada novi Ubuntu izaฤe, jer vjerujem da ฤe mnogi o tome veฤ razgovarati ... meฤutim, ono ลกto ste proฤitali ovdje u postu, nije li neลกto ลกto se ฤita svaki dan ili ne? ๐
Vrlo dobri doprinosi hvala
postoji i protokol zvan sftp koji je zajedno ftp i Secure Shell, iako to nije isto kao pokretanje FTP-a preko SSH: \
pozdravi
Da da zaista, ali stavljanjem SSH u kavez automatski postavljam kaveza u mreลพu onoga tko se poveลพe pomoฤu SFTP-a, jer kao ลกto kaลพete, SFTP je zapravo SSH + FTP ๐
pozdravi
Slike se ne mogu vidjeti !!! ๐
Moja mala greลกka hehe, reci mi odmah ๐
Spreman. Hvala ๐
vrlo dobro, usmjeravam ga prema svojim favoritima da bude dostupan kad mi zatreba, hahaha
Hvala vam, bilo kakvih pitanja ili problema, ovdje smo da vam pomognemo ๐
Imaju Perzeja u kavezu. http://i.imgur.com/YjVv9.png
LOL
xD
Kako si.
Znate, to je tema s kojom nisam dobro upoznat i koju sam provjeravao u BSD-u (PC-BSD i Ghost BSD) i smatram je vrlo zanimljivom i s funkcionalnostima koje mogu biti vrlo korisne.
Zadrลพat ฤu ga za referencu i provjeriti u skladu s BSD dokumentom. Zahvaljujem na informaciji.
Ni ja nisam bio upoznat s ovim, jer nikada nisam mislio nekome dati SSH pristup bilo kojem od mojih posluลพitelja haha, ali kad sam ustanovio da je to potrebno, ลพelio sam dati pristup, ali bez moguฤnosti da netko zabunom uฤini neลกto ลกto ne mora ๐
Nikad ovo nisam isprobao na BSD sustavima, pa vam ne mogu reฤi da ฤe to uspjeti, ali ako traลพite kako chrootati na BSD-u, trebalo bi neลกto izaฤi ๐
Hvala na komentaru prijatelju ๐
Pozdrav, koristim FreeBSD i, naravno, jailkit zapravo radi ovaj u lukama
Instalirate ga ovom naredbom
cd / usr / ports / shells / jailkit / && ฤine instalaciju ฤistom
Ili ftp paketom
pkg_add -r jailkit
Samo u konfiguraciji (kira: x: 1003: 1003 :: / home / kira: / bin / bash)
Morate dodati tcsh ili sh, osim ako niste instalirali bash i dodajte ovu stazu
/ usr / local / bin / bash
I joลก nekoliko detalja, u Ghost BSD-u trebao bi biti sliฤan postupak joลก jednostavniji jer se temelji na FreeBSD-u
pozdravi
Super, traลพio sam to; znate li da li to radi u Centosu ?? Hvala.
Nisam ga testirao na Centosu, ali da, trebalo bi raditi :)
Zapravo, sjeฤam se da je nekoliko njih koristilo isti alat na posluลพiteljima Centos i Red Hat
Hvala puno. Ide izravno na oznake.
Hvala vam ลกto ste komentirali ๐
Vrlo dobar "trik", super koristan za sys administratore. Ali joลก bolje, izvrsno dobro napisano. ล to biste joลก mogli poลพeljeti.
Puno vam hvala na doprinosu.
Hvala, puno hvala na komentaru ๐
pozdravi
Pohvalite SSH haha
Jednom sam pokuลกao napraviti kavez za ssh, ali u tradicionalnom stilu i istina je da nikad nije izaลกao ispravno. Ako je kavez bio pokrenut, nije imao ni basha, odnosno povezao se i nije ostalo niลกta haha, ako je ljuska radila, mogla bi se popeti u hijerarhiju direktorija i puno viลกe quilomboha haha, ali ovaj jailkit je buzdovan, automatizira sve te stvari ... Toplo preporuฤljivo
haha hvala.
Da, zapravo SSH je sve ฤudo za ono ลกto nam omoguฤuje, ลกto zapravo nije niลกta viลกe od onoga ลกto sustav dopuลกta pa ... ura za Linux! ... haha.
Pozdrav, pitanje!
zaลกto promijeniti dom iz (1) / opt / jail /./ home / kira u (2) / home / kira
Moramo urediti datoteku etc / passwd kaveza, to jest, u ovom sluฤaju to bi bilo / opt / jail / etc / passwd, u njoj komentiramo korisniฤku liniju koju smo stvorili i dodamo novu poput:
kira: x: 1003: 1003 :: / home / kira: / bin / bash
Drugim rijeฤima, datoteka passwd izgledala bi ovako:
root: x: 0: 0: root: / root: / bin / bash
(1) #kira: x: 1003: 1003: ,,,: / opt / jail /./ home / kira: / usr / sbin / jk_lsh
(2) kira: x: 1003: 1003 :: / home / kira: / bin / bash
Pozdrav ๐
Ako to nije postavljeno, SSH pristup ne radi, korisnik se pokuลกava povezati, ali se automatski izbacuje ... ฤini se da je rijeฤ o greลกci ili problemu s interpretatorom koji JailKit donosi, jer prilikom uvoฤenja ove promjene koja ukazuje da koristi normalni bash sustava, sve funkcionira.
Joลก uvijek zatvaram ssh sesiju: โโC
Suse 10.1 x64
Pozdrav, ovo sam instalirao i izvrsno funkcionira u centos = D
ali moj je dua kao prije da dodam viลกe naredbi, na primjer korisniku zatvora
ne moลพe pokrenuti svn co naredbu http://pagina.com/carpeta
Mislim, ova naredba ne postoji za korisnike zatvora u ovom sluฤaju kao prije, da bi te naredbe dodali u zatvor, a ima joลก mnogo toga ลกto trebam dodati.
Bok, kako si?
Ako ลพelite omoguฤiti naredbu ยซsvnยป u zatvoru, imate naredbu jk_cp
To je:
jk_cp / opt / jail / / bin / svn
Ovo pod pretpostavkom da je svn binarni ili izvrลกni: / bin / svn
I neka Kavez / zatvor bude: / opt / jail /
Pronaฤi ฤete naredbe koje ovise o drugima, odnosno ako dodate naredbu ยซpepeยป, vidjet ฤete da morate dodati i ยซfedericoยป, jer ยซpepeยป ovisi o ยซfedericoยป koji ฤe se izvrลกiti, ako to pronaฤete onda dodajte potrebne naredbe i veฤ ๐
To je izvrsno, trenutno ga testiram i kaลพem vam ลกto se dogodilo, puno hvala = D
Sreฤa ๐
Uspio sam uฤiniti ono ลกto ste mi rekli, ali na ovaj naฤin i automatski me otkrio bez ikakvih problema. Ovo je bila naredba kojom sam mogao koristiti subverziju.
jk_cp -j / home / jaul svn
Pa koristim centos xP i moลพda je drugaฤiji, ali dobar
sada bih ลพelio znati koje su to biblioteke poput svn, ali sada bih volio kompajlirati jer recimo da trebam koristiti takvu naredbu
./konfiguriraj i oznaฤi pogreลกku
./configure.lineno: redak 434: expr: naredba nije pronaฤena
Ne bih znao koje su biblioteke koje sam veฤ instalirao ono ลกto je mysql i druge ako se kompilira izvan zatvora, ali ne i unutar jauija.
Oprostite na neugodnosti.
ps: trebali biste u vodiฤ staviti ono ลกto sam vam rekao o naredbi koriลกtenoj u pozdravu centos =).
Gledajte, kad vam kaลพem da ne moลพe pronaฤi naredbu (kao ovdje), prva stvar je pronaฤi naredbu:
whereis exprJednom pronaฤeni (/ usr / bin / expr i / usr / bin / X11 / expr) kopiramo ga u zatvor sa jk_cp ๐
Pokuลกajte ovo da vidite.
Da, veฤ ureฤujem post i dodajem da to radi u Centosu ๐
Veliko hvala (:
Hvala na unosu ...
Bok, kako si?
Jebi se frajeru! Iz ฤilea moj pozdrav. Prdan si kao i ja! LOL!. Zagrljaji. Vaลกa objava mi je bila od velike pomoฤi!
Hvala na komentaru ๐
Hvala vam puno na postu, puno mi je pomogao, ali naลพalost u dijelu
//////////////////////////////////////////////////// //// //////////////////////////////////////////////// //////// ////////////////////////
Moramo urediti datoteku etc / passwd kaveza, to jest, u ovom sluฤaju to bi bilo / opt / jail / etc / passwd, u njoj komentiramo korisniฤku liniju koju smo stvorili i dodamo novu poput:
kira: x: 1003: 1003 :: / home / kira: / bin / bash
Drugim rijeฤima, datoteka passwd izgledala bi ovako:
root: x: 0: 0: root: / root: / bin / bash
#kira: x: 1003: 1003: ,,,: / opt / jail /./ home / kira: / usr / sbin / jk_lsh
kira: x: 1003: 1003 :: / home / kira: / bin / bash
//////////////////////////////////////////////////// // //////////////////////////////////////////////
To uzrokuje istu pogreลกku, mislim, ostavljam je takvu kakva jest i podiลพe me s terminala kad se poveลพem ,,, .., komentiram liniju i dodam joลก jednu modificirajuฤi kako vi naznaฤite, a takoฤer takoฤer ฤizme ...
Instalirajte najnoviju verziju "jailkit-2.16.tar", ฤak i stvorite skriptu kako biste uลกtedjeli vrijeme, evo dolje:
//////////////////////////////////////////////////////// //////////////////////////////////////////////////
#! / bin / bash
wget http://olivier.sessink.nl/jailkit/jailkit-2.16.tar.gz
tar -zxvf jailkit -2.16.tar.gz
cd jailkit-2.16
. / Konfiguracija
napraviti
make install
izlaz
//////////////////////////////////////////////////// // ///////////////////////////////
Oฤito se prvo prijavljuju kao "root" ...
Kako bih mogao rijeลกiti pogreลกku prijatelju ????
ลฝao mi je, veฤ sam shvatio, pogrijeลกio sam u vezi s mapom Poฤetna, ali imam veliku sumnju, kako mogu to dobiti da mi dozvoli izvrลกavanje naredbe "screen", pokuลกavam je koristiti (u kaveznom korisniku) , ali ne uspijeva ... Druga stvar je to, kako mogu natjerati ovog korisnika u kavezu da vodi vinski program na exeu koji je upravo stavio u svoj dom, kako bi to bilo?
bok, jako dobar tuto! Ja sam nov u tim sredinama, imam pitanje ...
ล to se tiฤe sigurnosti, vidim da u svom korijenu ima mnogo mapa, jesu li potrebne? Samo ลพelim da ima pristup svojoj mapi (ftp-upload i ssh-execute) za pokretanje aplikacije, koje bi mape mogao izbrisati iz korijena? ili mi ne predstavlja nikakvu opasnost? Cijenim vaลกu pomoฤ unaprijed, pozdrav!
@ KZKG ^ Gaara, hvala Bogu da ste stavili greลกkavu greลกku, ali s verzijom jailkit-2.16.tar.gz za koju ste sugerirali da su je popravili
http://olivier.sessink.nl/jailkit/jailkit-2.16.tar.gz
Mislim da ฤu ga proslijediti u PDF, jojo .. u kavez i hvala wn ๐
Pozdrav prijatelju, imam pitanje:
Pretpostavimo da imamo korisnika pod nazivom "test".
Pitanje je, datoteka /home/test/.ssh/known_hosts koja se nalazi u kuฤi tog korisnika, je li to ista datoteka ili nije korisnik u kavezu?
Pokuลกaj ovo. Ovom metodom moลพete ograniฤiti navigaciju na drugi dom ostalih korisnika.
Prije svega, hvala na postu! Jako mi je korisno; ali imam dvije sumnje, a one proizlaze iz scenarija koji imam:
Moram stvoriti N korisnika s neovisnim i privatnim pristupom njihovom domu, svaki korisnik moลพe pristupiti svom domu samo za deponiranje, izmjenu i brisanje datoteka koje se tamo nalaze, bez potrebe za premjeลกtanjem drugima (to veฤ imam). Ne zahtijeva pristup putem ssh-a.
1. Morate li stvoriti kavez za svakog korisnika ili postoji naฤin da razliฤiti korisnici budu u istom kavezu, ali svaki ima svoj "privatni" direktorij?
2. Kada se pristupaju (putem FTP klijenta) prikazuju svi direktoriji stvoreni alatom, postoji li naฤin da se mapa prikaลพe na ฤist naฤin? Ili sam usput neลกto pogrijeลกio?
Izvrsna lekcija! To mi je bilo od velike pomoฤi, testiram ga s verzijom 2.17 na Ubuntu 14.04 i djeluje jako dobro. Sada imam sljedeฤi izazov, nakon ลกto se korisnik stavi u kavez tako da se ne moลพe premjestiti ni na jednu stazu, ลพelim da moลพe vidjeti samo sadrลพaj datoteke koja se nalazi na drugoj putanji. Pokuลกao sam sa simboliฤnom vezom, ali kada pokuลกavam napraviti rep ili maฤku za ovu datoteku, kaลพe mi da ona ne postoji, iako mogu pri pristupu s korisnikom tu datoteku navesti u kuฤi kaveza.
Ako biste mi mogli pomoฤi, bio bih vam zahvalan unaprijed
Pozdrav, slijedio sam cijeli priruฤnik i prilikom prijave ssh-om automatski se zatvara, tragovi:
4. prosinca 19:20:09 toby sshd [27701]: Prihvaฤena lozinka za test s porta 172.16.60.22 port 62009 ssh2
4. prosinca 19:20:09 toby sshd [27701]: pam_unix (sshd: session): sesiju je otvorio za korisniฤki test korisnik (uid = 0)
4. prosinca 19:20:09 toby jk_chrootsh [27864]: sada ulazi u zatvor / opt / zatvor za test korisnika (1004) s argumentima
4. prosinca 19:20:09 toby sshd [27701]: pam_unix (sshd: session): sesija zatvorena za korisniฤki test
hvala
Ne kad uฤinim zadnji korak davanju ssh pristupa korisniku, on i dalje zatvara vezu ๐
Moลพe li ovaj stvoreni korisnik omoguฤiti promjenu u root? tvoj -korijen? ne dopuลกta mi. Kako bi bilo? Hvala na pomoฤi
Puno vam hvala na vodiฤu, trebao mi je kako bih stvorio korisnika koji bi mogao koristiti clonezilla za izradu slike i kopiranje na strani posluลพitelj, ali koji se nije mogao rojiti gdje god je ลพelio
Dobro! Trebao bih neลกto znati.
Je li moguฤe uฤi kao ROOT koristeฤi FTP i imajuฤi ta dopuลกtenja, upravljati njime putem FTP-a, a ne pomoฤu SSH-a? Recimo poput stvaranja veze, stila tunela ili neฤeg sliฤnog. Kako se to radi? Konfiguriranje VSFTPD datoteke?
Puno ti hvala!