בעולם שלנו יש הרבה מאוד סודות ... אני באמת לא חושב שאני יכול ללמוד מספיק כדי לדעת את רובם, וזה ניתן על ידי העובדה הפשוטה כי לינוקס מאפשרת לנו לעשות כל כך הרבה דברים, אבל כל כך הרבה דברים קשה לנו להכיר את כולם.
הפעם אסביר כיצד לעשות משהו שימושי ביותר, דבר שמנהלי רשתות או מערכות רבים נדרשים לעשות, והתקשינו פשוט לא למצוא דרך פשוטה למדי להשיג זאת:
כיצד לכלוב משתמשים המתחברים באמצעות SSH
כְּלוּב? ... WTF!
כן. אם מסיבה כלשהי עלינו לתת ל- SSH גישה לחבר שלנו למחשב (או לשרת) שלנו, עלינו לדאוג תמיד לאבטחה וליציבות של המחשב או השרת שלנו.
זה קורה שלאחרונה רצינו לתת ל- Perseus SSH גישה לשרת שלנו, אבל אנחנו לא יכולים לתת לו שום סוג של גישה מכיוון שיש לנו שם תצורות רגישות באמת (ריכזנו הרבה דברים, חבילות שהתקנו בנפרד וכו '...) ואם מישהו שלא בין אם אני מנסה לבצע ולו שינוי קל ביותר בשרת, קיימת אפשרות שהכל ילך לבזבוזההה.
אז כיצד ליצור משתמש בעל הרשאות מוגבלות ביותר, עד כדי כך שהוא אפילו לא יכול לצאת מהכלוב שלו (הבית)?
נתחיל בהורדה ערכת כליאה, כלי שיאפשר לנו לעשות זאת:
1. ראשית עלינו להוריד את שרת JailKit שלנו.
wget http://ftp.desdelinux.net/jailkit-2.14.tar.gz
2. אז עלינו לפתוח את החבילה ולהיכנס לתיקיה שהופיעה זה עתה:
tar xzf jailkit-2.14.tar.gz && cd jailkit-2.14
3. מאוחר יותר המשכנו לאסוף ולהתקין את התוכנה (אני משאיר לך צילום מסך):
./configure
make
make install
4. מוכן, זה כבר מותקן. כעת אנו ממשיכים ליצור את הכלוב שיכיל משתמשים עתידיים, במקרה שלי יצרתי אותו ב: / opt / וקראתי לו "כלא", כך שהדרך תהיה: / opt / כלא :
mkdir /opt/jail
chown root:root /opt/jail
5. הכלוב כבר נוצר, אך אין בו את כל הכלים הדרושים כדי שמשתמשים עתידיים שיהיו שם יוכלו לעבוד ללא בעיות. כלומר, עד לנקודה זו הכלוב נוצר, אבל זה רק קופסה ריקה. עכשיו נכניס לכלוב כמה כלים שמשתמשים בכלוב יצטרכו:
jk_init -v /opt/jail basicshell
jk_init -v /opt/jail editors
jk_init -v /opt/jail extendedshell
jk_init -v /opt/jail netutils
jk_init -v /opt/jail ssh
jk_init -v /opt/jail sftp
jk_init -v /opt/jail jk_lsh
6. מוכן, הכלוב קיים ויש לו כבר כלים לשימוש המשתמש ... עכשיו אנחנו רק צריכים ... המשתמש! אנו הולכים ליצור את המשתמש קירה ואנחנו נכניס את זה לכלוב:
adduser kira
jk_jailuser -m -j /opt/jail kira
cat /etc/passwd | grep jk_chroot
אם אתה שם לב ששום דבר כמו צילום המסך לא מופיע, בטח עשית משהו לא בסדר. השאירו תגובה כאן ואשמח לעזור לכם.
7. וואלה, המשתמש כבר כלוא ... אבל, הוא כלוא כל כך, שהוא לא יכול להתחבר באמצעות SSH, כי כאשר הוא מנסה להתחבר השרת לא מאפשר לו:
8. כדי לאפשר למשתמש להתחבר עלינו לעשות צעד נוסף.
עלינו לערוך את קובץ ה- etc / passwd של הכלוב, כלומר במקרה זה זה יהיה / opt / jail / etc / passwd , בו אנו מגיבים על קו המשתמשים שיצרנו, ומוסיפים שורה חדשה כגון:
kira: x: 1003: 1003 :: / home / kira: / bin / bash
כלומר, יהיה לנו את הקובץ ככה פסח:
root: x: 0: 0: root: / root: / bin / bash
#kira: x: 1003: 1003: ,,,: / opt / jail /./ home / kira: / usr / sbin / jk_lsh
kira: x: 1003: 1003 :: / home / kira: / bin / bash
שימו לב היטב לסימני הפיסוק הכפולים ואחרים, חשוב לא להפיל אף אחד מהם 🙂
לאחר ביצוע פעולה זו, המשתמש יכול להיכנס ללא כל בעיה 😀
וזה הכל.
הכלי שאנו משתמשים בו לכל זה (ערכת כליאה) השתמש במערך האחורי נתח, וזה למעשה מה שכמעט כל הדרכות משתמשות בו. עם זאת באמצעות JailKit זה הופך להיות פשוט יותר לכלוב 😉
אם למישהו יש בעיה או שמשהו לא בסדר, השאיר כמה שיותר פרטים, אני לא רואה את עצמי מומחה אבל אני אעזור לך ככל שאוכל.
אז זה יהיה משהו כמו ההרשאות ב- FTP? מעניין
אתה תמיד יוצא עם כל מה שאפילו לא ידעת שקיים, כמו המשתמשים ב- mysql xD
לא בדיוק, מכיוון ש- SSH אינו זהה ל- FTP. SSH הוא מעטפת, כלומר מסוף ... היית נמצא במסוף במחשב או בשרת אחר, אתה יכול לבצע פקודות, להתחיל תהליכים וכו '... היית עושה ככל שמנהל השרת מאפשר לך 😉
חחחחחחחח נו, מה שקורה זה שאני מפרסם דברים טכניים יותר ... כלומר, אני אוהב לפרסם דברים קטנים שלא כל כך פופולריים ומעניינים. לדוגמא, באופן אישי אני לא מתכנן לפרסם משהו ביום בו תצא אובונטו החדשה, מכיוון שאני מאמין שרבים כבר ידברו על זה ... עם זאת, מה שקראת כאן בפוסט, האם זה לא משהו שקוראים כל פעם יום או לא? 😀
תרומות טובות מאוד תודה
יש גם פרוטוקול שנקרא sftp שהוא ftp ו- Secure Shell יחד, אם כי זה לא כמו להריץ FTP על SSH: \
לגבי
כן כן אכן, אבל על ידי כלוב SSH אני כלוב אוטומטית את מי שמתחבר באמצעות SFTP, כי כמו שאתה אומר, SFTP הוא למעשה SSH + FTP 😀
לגבי
לא ניתן לראות את התמונות !!! 🙁
טעות קטנה שלי היי, תגיד לי עכשיו 😀
מוּכָן. תודה 😀
טוב מאוד, אני מצביע על המועדפים שלי שיהיה זמין כשאני צריך את זה חחח
תודה, לכל שאלה או בעיה, אנחנו כאן כדי לעזור לך 🙂
יש להם פרסאוס בכלוב. http://i.imgur.com/YjVv9.png
LOL
xD
מה שלומך.
אתה יודע, זה נושא שאני לא מכיר במיוחד ושבדקתי ב- BSD (PC-BSD ו- Ghost BSD) ואני מוצא את זה מעניין מאוד ועם פונקציות שיכולות להיות מאוד שימושיות.
אני אשמור אותו לעיון ואבדוק זאת מול מסמך BSD. תודה על המידע.
גם לא הכרתי את זה מכיוון שמעולם לא חשבתי לתת למישהו גישה ל- SSH לאף אחד מהשרתים שלי haha, אבל כשמצאתי את הצורך לעשות זאת, רציתי לתת גישה אך ללא האפשרות שמישהו בטעות יעשה משהו שלא היה חייב 😀
מעולם לא ניסיתי את זה במערכות BSD, אז אני לא יכול להגיד לך שזה יעבוד, אבל אם אתה מחפש איך לחלץ ב- BSD, משהו צריך לצאת 😉
תודה על התגובה חבר 🙂
שלום, אני משתמש ב- FreeBSD וכמובן ש- jailkit עובד למעשה זה בנמלים
אתה מתקין אותו עם פקודה זו
cd / usr / ports / shells / jailkit / && הפוך את ההתקנה לנקייה
או לפי מנות ftp
pkg_add -r jailkit
רק בתצורה (kira: x: 1003: 1003 :: / home / kira: / bin / bash)
עליך להוסיף tcsh או sh, אלא אם כן התקנת את bash ולהוסיף נתיב זה
/ usr / local / bin / bash
ועוד כמה פרטים, ב- Ghost BSD זה אמור להיות תהליך דומה אפילו יותר מכיוון שהוא מבוסס על FreeBSD
לגבי
נהדר, חיפשתי את זה; אתה יודע אם זה עובד בסנטוס ??; תודה.
לא בדקתי את זה בסנטוס, אבל כן, זה אמור לעבוד :)
למעשה אני חושב שאני זוכר שכמה מהם השתמשו בכלי זהה בשרתי Centos ו- Red Hat 😉
תודה רבה. זה עובר ישירות לסימניות.
תודה לך על התגובה 🙂
"טריק" טוב מאוד, שימושי במיוחד למנהלי מערכות. אבל אפילו טוב יותר, כתוב מצוין. מה עוד אתה יכול לרצות.
תודה רבה לך על התרומה.
תודה, תודה רבה על תגובתך 😀
לגבי
שבח SSH האה
פעם ניסיתי להכין כלוב ל- ssh אבל בסגנון המסורתי והאמת שהוא מעולם לא יצא נכון. אם הכלוב היה פועל, לא היה לו אפילו באש, כלומר הוא התחבר ולא נשאר כלום האה, אם הקליפה עובדת, היא עלולה לעלות בהיררכיית הספריות ועוד הרבה קווילומבות האה אבל ערכת הכלואים הזו היא מקנה, היא הופכת את כל הדברים האלה לאוטומטיים ... מומלץ
חח תודה.
כן, בעצם SSH הוא כל הפלא למה שהוא מאפשר לנו, וזה באמת לא יותר ממה שהמערכת מאפשרת לכן ... הידד לינוקס! … חה חה.
שלום, שאלה!
מדוע לשנות את הבית מ (1) / opt / jail /./ home / kira ל- (2) / home / kira
עלינו לערוך את הקובץ וכו '/ passwd של הכלוב, כלומר במקרה זה זה יהיה / opt / jail / etc / passwd, בו אנו מגיבים על קו המשתמש שיצרנו, ומוסיפים קובץ חדש כגון:
kira: x: 1003: 1003 :: / home / kira: / bin / bash
במילים אחרות, קובץ passwd ייראה כך:
root: x: 0: 0: root: / root: / bin / bash
(1) #kira: x: 1003: 1003: ,,,: / opt / jail /./ home / kira: / usr / sbin / jk_lsh
(2) kira: x: 1003: 1003 :: / home / kira: / bin / bash
שלום 🙂
אם זה לא מוגדר, הגישה ל- SSH לא עובדת, המשתמש מנסה להתחבר אך מודח אוטומטית ... נראה שזה באג או בעיה במתורגמן ש- JailKit מביא, מכיוון שכאשר מבצעים שינוי זה מציין שהוא משתמש מערכת bash רגילה, הכל עובד.
אני עדיין סוגר את מושב ה- ssh: ג
סוזה 10.1 x64
שלום התקנתי את זה וזה עובד נפש מצוין מאוד ב- centos = D.
אבל הצמד שלי כמו לפני להוסיף פקודות נוספות למשל למשתמש בכלא
לא יכול להפעיל את הפקודה svn co http://pagina.com/carpeta
כלומר, פקודה זו לא קיימת עבור משתמשי כלא במקרה זה כמו לפני להוסיף פקודות אלה לכלא ויש עוד הרבה שעלי להוסיף.
שלום מה שלומך?
אם אתה רוצה לאפשר את הפקודה «svn» בכלא יש לך את הפקודה jk_cp
זה:
jk_cp / opt / jail / / bin / svn
בהנחה שה- svn בינארי או ההפעלה הוא: / bin / svn
ותנו לכלוב / לכלא להיות: / opt / jail /
תוכלו למצוא פקודות שתלויים באחרים, כלומר אם תוסיפו את הפקודה "pepe" תראו שעליכם להוסיף גם "federico", מכיוון ש- "pepe" תלוי ב- "federico" שיבוצע, אם תמצאו זאת אז אתה מוסיף את הפקודות הדרושות וכבר 😉
זה מצוין, אני בודק את זה עכשיו, ואני אומר לך שזה קרה, תודה רבה = ד
מזל 😀
הצלחתי לעשות את מה שאמרת לי אך באופן זה ובאופן אוטומטי הוא זיהה זאת ללא שום בעיה. זו הייתה הפקודה שהייתי משתמשת בה כדי להיות מסוגל להשתמש בתת-המחלוקת.
jk_cp -j / home / jaul svn
ובכן אני משתמש ב- centos xP ואולי זה שונה אבל טוב
עכשיו הייתי רוצה לדעת מהן הספריות כמו svn אבל עכשיו אני רוצה להרכיב כי נניח שאני צריך להשתמש בפקודה כזו
./ להגדיר ולסמן שגיאה
./configure.lineno: שורה 434: expr: הפקודה לא נמצאה
לא הייתי יודע מהן הספריות שכבר התקנתי מהו mysql ואחרות אם הוא מתאסף מחוץ לכלא אך לא בתוך בית המשפט.
מצטער על אי הנוחות.
ps: אתה צריך להכניס למדריך את מה שאמרתי לך על הפקודה המשמשת בברכות centos =).
תראה, כשאני אומר לך שהוא לא יכול למצוא פקודה (כמו כאן) הדבר הראשון הוא למצוא את הפקודה:
whereis exprלאחר שנמצא (/ usr / bin / expr ו- usr / bin / X11 / expr) אנו מעתיקים אותו לכלא עם jk_cp 😉
נסה זאת כדי לראות.
כן, אני כבר עורך את הפוסט ומוסיף שהוא עובד בסנטוס 😀
תודה רבה מאוד (:
תודה על הקלט ...
היי, מה שלומך?
לעזאזל אחי! מצ'ילה ברכותיי. אתה מפליץ כמוני! לצחוק בקול רם!. חיבוקים. הפוסט שלך עזר לי מאוד!
תודה על תגובתך 😀
תודה רבה על הפוסט, זה עזר לי מאוד, אבל לצערי בחלק של
////////////////////////////////////////////////////// // //////////////////////////////////////////////////// //// //////////////////////////
עלינו לערוך את הקובץ וכו '/ passwd של הכלוב, כלומר במקרה זה זה יהיה / opt / jail / etc / passwd, בו אנו מגיבים על קו המשתמש שיצרנו, ומוסיפים קובץ חדש כגון:
kira: x: 1003: 1003 :: / home / kira: / bin / bash
במילים אחרות, קובץ passwd ייראה כך:
root: x: 0: 0: root: / root: / bin / bash
#kira: x: 1003: 1003: ,,,: / opt / jail /./ home / kira: / usr / sbin / jk_lsh
kira: x: 1003: 1003 :: / home / kira: / bin / bash
////////////////////////////////////////////////// ////////////////////////////////////////
זה גורם לי לאותה שגיאה, זאת אומרת, אני משאיר אותה כמו שהיא, והיא מגפנת אותי מהטרמינל בעת חיבור ,,, .., אני מגיב על הקו ומוסיף עוד אחד שמשנה אותו כפי שאתה מציין, וזה גם מגפיים אותי ....
התקן את הגרסה האחרונה "jailkit-2.16.tar", אפילו צור סקריפט כדי לחסוך זמן, הנה זה למטה:
////////////////////////////////////////////////////// //// //////////////////////////////////////////////////
#! / bin / bash
wget http://olivier.sessink.nl/jailkit/jailkit-2.16.tar.gz
זפת -zxvf jailkit-2.16.tar.gz
תקליטור jailkit-2.16
. / קביעת תצורה של
לעשות
להפוך את ההתקנה
יציאה
////////////////////////////////////////////////// ///////////////////////////
ברור שקודם כל הם נכנסים כ"שורש "...
איך אוכל לפתור את חבר השגיאה ????
סליחה, כבר קיבלתי את זה, טעיתי בתיקיית הבית, אבל יש לי ספק גדול, איך אוכל לגרום לזה לאפשר לי לבצע את הפקודה "מסך", אני מנסה להשתמש בה (במשתמש הכלוב) , אבל זה לא עובד ... דבר נוסף הוא שכיצד אוכל לגרום למשתמש הכלוא הזה להפעיל את תוכנית היין על אקס שהוא פשוט הכניס לביתו, איך זה יהיה?
שלום, טוטו טוב מאוד! אני חדש בסביבות האלה, יש לי שאלה ...
באשר לאבטחה אני רואה שבשורש שלה יש הרבה תיקיות, האם הן נחוצות? אני רק רוצה שתהיה לו גישה לתיקייה שלו (ftp-upload ו- ssh-execute) כדי להריץ יישום, אילו תיקיות הוא יכול למחוק מהשורש? או שזה לא מהווה סכנה כלשהי עבורי? אני מעריך את עזרתך מראש, ברכות!
@ KZKG ^ גאארה, תודה לאל ששמת את השגיאה הצפצפנית אבל עם הגרסה של jailkit-2.16.tar.gz שהצעת לתקן את זה
http://olivier.sessink.nl/jailkit/jailkit-2.16.tar.gz
אני חושב שאעביר את זה למסמך PDF, jojo .. לכלוב ותודה wn 😀
שלום שלום, יש לי שאלה:
נניח שיש לנו משתמש בשם "test".
השאלה היא שהקובץ /home/test/.ssh/known_hosts שנמצא בביתו של אותו משתמש, האם הקובץ זהה למשתמש או לא בכלוב?
נסה את זה. אתה יכול בשיטה זו להגביל את הניווט לבית האחר של המשתמשים האחרים.
קודם כל, תודה על הפוסט! זה מאוד שימושי עבורי; אבל יש לי שתי ספקות, ואלה נובעים מהתרחיש שיש לי:
אני צריך ליצור משתמשי N עם גישה עצמאית ופרטית לביתם, כל משתמש יכול לגשת רק לביתו כדי להפקיד, לשנות ולמחוק קבצים הכלולים שם מבלי שיעבור לאחרים (כבר יש לי נקודה זו). זה לא דורש גישה באמצעות ssh.
1. האם עליכם ליצור כלוב לכל משתמש, או שיש דרך לקבל את המשתמשים השונים באותו הכלוב אך לכל אחד מהם יש את הספרייה "הפרטית" שלהם?
2. כאשר ניגשים (דרך לקוח FTP) מוצגים כל הספריות שנוצרו על ידי הכלי, האם יש דרך להציג את התיקייה נקייה? או שעשיתי משהו לא בסדר בדרך?
הדרכה מעולה! זה עזר לי מאוד, אני בודק את זה עם גרסה 2.17 באובונטו 14.04 וזה עובד טוב מאוד. עכשיו יש לי את האתגר הבא, ברגע שהמשתמש כלוא כך שהוא לא יכול לעבור לשום נתיב, אני רוצה שהוא יוכל לראות רק את התוכן של קובץ שנמצא בנתיב אחר. ניסיתי עם קישור סמלי, אך כשניסיתי ליצור זנב או חתול לקובץ זה הוא אומר לי שהוא לא קיים אם כי בעת גישה עם המשתמש אני יכול לרשום את הקובץ הזה בבית הכלוב.
אם היית יכול לעזור לי הייתי אסיר תודה, תודה מראש
שלום, עקבתי אחר כל המדריך וכשאתה מתחבר עם ssh הוא נסגר אוטומטית, מתחקה אחר:
4 בדצמבר 19:20:09 toby sshd [27701]: סיסמה מקובלת לבדיקה מ 172.16.60.22 יציאה 62009 ssh2
4 בדצמבר 19:20:09 toby sshd [27701]: pam_unix (sshd: session): ההפעלה נפתחה לבדיקת משתמש על ידי (uid = 0)
4 בדצמבר 19:20:09 toby jk_chrootsh [27864]: נכנס כעת לכלא / opt / כלא לבדיקת משתמש (1004) עם טיעונים
4 בדצמבר 19:20:09 toby sshd [27701]: pam_unix (sshd: session): מושב סגור לבדיקת משתמש
תודה
לא כשאני עושה את הצעד האחרון של מתן גישה ssh למשתמש, זה עדיין סוגר את החיבור 🙁
האם ניתן להשתמש ממשתמש זה שנוצר לשורש? שלך -שורש? זה לא מאפשר לי. איך זה יהיה? תודה על עזרתך
תודה רבה לך על ההדרכה, הייתי זקוק לה כדי ליצור משתמש שיכול להשתמש ב- clonezilla כדי ליצור תמונה ולהעתיק אותה לשרת זר אך לא יכול היה לנחול איפה שהוא רוצה
טוֹב! הייתי צריך לדעת משהו.
האם ניתן להיכנס כ- ROOT באמצעות FTP ובעל הרשאות אלו, לנהל אותו על ידי FTP ולא באמצעות SSH? נניח כמו ליצור חיבור, סגנון מנהרה או משהו כזה. איך זה נעשה? הגדרת התצורה של קובץ VSFTPD?
תודה רבה לך!