Di dunia kita ada banyak, banyak rahsia ... Sejujurnya saya rasa saya tidak dapat belajar cukup banyak untuk mengetahui kebanyakan dari mereka, dan ini diberikan oleh fakta sederhana bahawa Linux membolehkan kita melakukan begitu banyak, tetapi begitu banyak perkara seperti itu sukar untuk kita mengenali mereka semua.
Kali ini saya akan menerangkan kepada anda bagaimana melakukan sesuatu yang sangat berguna, sesuatu yang perlu dilakukan oleh banyak pentadbir rangkaian atau sistem, dan sukar untuk tidak menemui cara yang cukup mudah untuk mencapainya:
Cara menyangkut pengguna yang berhubung melalui SSH
sangkar? ... WTF!
Ya. Sekiranya atas sebab apa pun kita mesti memberi akses SSH kepada rakan kita ke komputer (atau pelayan) kita, kita mesti sentiasa menjaga keselamatan dan kestabilan komputer atau pelayan kita.
Kebetulan baru-baru ini kami ingin memberikan akses kepada Perseus SSH ke pelayan kami, tetapi kami tidak dapat memberikannya jenis akses kerana kami mempunyai konfigurasi yang sangat sensitif di sana (kami telah mengumpulkan banyak perkara, pakej yang telah kami pasang secara individu, dll.) Sama ada saya cuba membuat sedikit pun perubahan pada pelayan, ada kemungkinan semuanya akan sia-sia lol
Kemudian, Cara membuat pengguna dengan hak istimewa yang sangat terhad, sehingga dia bahkan tidak dapat keluar dari kandangnya (rumah)?
Mari mulakan dengan memuat turun penjara, alat yang akan membolehkan kita melakukan ini:
1. Mula-mula kita mesti memuat turun pelayan JailKit kita.
wget http://ftp.desdelinux.net/jailkit-2.14.tar.gz
2. Kemudian kita mesti membuka zip pakej dan memasukkan folder yang baru muncul:
tar xzf jailkit-2.14.tar.gz && cd jailkit-2.14
3. Kemudian kami terus menyusun dan memasang perisian (Saya meninggalkan tangkapan skrin anda):
./configure
make
make install
4. Sudah siap, ini sudah dipasang. Sekarang kita terus membuat sangkar yang akan berisi pengguna masa depan, dalam kasus saya saya membuatnya di: / opt / dan memanggilnya "penjara", jadi jalannya adalah: / memilih / penjara :
mkdir /opt/jail
chown root:root /opt/jail
5. Kandang sudah dibuat, tetapi ia tidak mempunyai semua alat yang diperlukan sehingga pengguna masa depan yang akan berada di sana dapat bekerja tanpa masalah. Maksud saya, hingga saat ini sangkar dibuat, tetapi ia hanyalah kotak kosong. Sekarang kita akan memasukkan sangkar beberapa alat yang diperlukan oleh pengguna sangkar:
jk_init -v /opt/jail basicshell
jk_init -v /opt/jail editors
jk_init -v /opt/jail extendedshell
jk_init -v /opt/jail netutils
jk_init -v /opt/jail ssh
jk_init -v /opt/jail sftp
jk_init -v /opt/jail jk_lsh
6. Siap, sangkar itu ada dan ia sudah mempunyai alat untuk digunakan oleh pengguna ... sekarang kita hanya memerlukan ... pengguna! Mari buat pengguna Kira dan kami akan memasukkannya ke dalam sangkar:
adduser kira
jk_jailuser -m -j /opt/jail kira
cat /etc/passwd | grep jk_chroot
Sekiranya anda melihat bahawa tidak seperti tangkapan skrin yang muncul, anda pasti melakukan kesalahan. Tinggalkan komen di sini dan saya dengan senang hati akan membantu anda.
7. Dan voila, pengguna sudah dikurung ... tetapi, dia sangat tersangkut, bahawa dia tidak dapat menyambung dengan SSH, kerana ketika dia cuba menyambungkan pelayan tidak membenarkannya:
8. Untuk membolehkan pengguna berhubung, kita mesti melakukan satu langkah lagi.
Kita mesti mengedit fail etc / passwd dari sangkar, iaitu, dalam keadaan seperti ini / opt / penjara / etc / passwd , di dalamnya kami memberi komen mengenai baris pengguna yang kami buat, dan menambahkan yang baru seperti:
kira: x: 1003: 1003 :: / rumah / kira: / bin / bash
Maksudnya, kita akan mempunyai fail seperti ini passwd:
akar: x: 0: 0: root: / root: / bin / bash
#kira: x: 1003: 1003: ,,,: / opt / penjara /./ rumah / kira: / usr / sbin / jk_lsh
kira: x: 1003: 1003 :: / rumah / kira: / bin / bash
Perhatikan tanda baca yang sama dan lain-lain, penting untuk tidak menjatuhkan mana-mana tanda 🙂
Setelah melakukan ini, pengguna boleh masuk tanpa masalah 😀
Dan itu sahaja.
Alat yang kami gunakan untuk semua ini (penjara) gunakan di bahagian belakang kekacauan, yang sebenarnya digunakan oleh hampir semua tutorial. Walau bagaimanapun, menggunakan JailKit menjadi lebih mudah untuk dikurung 😉
Sekiranya seseorang mempunyai masalah atau ada yang tidak betul, tinggalkan sebanyak mungkin maklumat, saya tidak menganggap diri saya seorang pakar tetapi saya akan menolong anda semampu saya.
Jadi ia akan menjadi seperti kebenaran dalam FTP? menarik
anda selalu keluar dengan semua yang anda sendiri tidak tahu ada, seperti pengguna di mysql xD
Tidak betul, kerana SSH tidak sama dengan FTP. SSH adalah shell, iaitu terminal ... anda akan berada di terminal di komputer atau pelayan lain, anda boleh menjalankan perintah, memulakan proses, dan lain-lain ... anda akan melakukan seberapa banyak yang dibenarkan oleh pentadbir pelayan anda 😉
hahahahaha nah ayolah, apa yang berlaku ialah saya menerbitkan lebih banyak perkara teknikal ... iaitu, saya suka menerbitkan perkara kecil yang tidak begitu popular dan menarik. Sebagai contoh, saya secara peribadi tidak merancang untuk menerbitkan sesuatu pada hari Ubuntu baru keluar, kerana saya percaya bahawa banyak yang sudah membincangkannya ... namun, apa yang anda baca di sini dalam siaran, adakah itu bukan sesuatu yang dibaca setiap hari atau tidak? 😀
Sumbangan yang sangat baik terima kasih
ada juga protokol yang disebut sftp yang merupakan ftp dan Secure Shell bersama-sama, walaupun tidak sama dengan menjalankan FTP melalui SSH: \
salam
Ya ya memang, tetapi dengan menyangkut SSH, saya secara automatik mengurung siapa sahaja yang menggunakan SFTP, kerana seperti yang anda katakan, SFTP sebenarnya adalah SSH + FTP 😀
salam
Gambar tidak dapat dilihat !!! 🙁
Sedikit kesilapan saya hehe, beritahu saya sekarang 😀
Sedia. Terima kasih 😀
sangat bagus, saya menunjukkan kepada kegemaran saya untuk menyediakannya ketika saya memerlukannya lol
Terima kasih, ada pertanyaan atau masalah yang kami ada untuk membantu anda 🙂
Mereka mempunyai Perseus di dalam sangkar. http://i.imgur.com/YjVv9.png
LOL
xD
Apa khabar.
Anda tahu, ini adalah topik yang saya tidak begitu kenal dan yang saya periksa di BSD (PC-BSD dan Ghost BSD) dan saya rasa ia sangat menarik dan dengan fungsi yang sangat berguna.
Saya akan menyimpannya untuk rujukan dan menyemaknya dengan dokumen BSD. Terima kasih atas maklumatnya.
Saya juga tidak biasa dengan ini, kerana saya tidak pernah terfikir untuk memberi seseorang SSH akses ke mana-mana pelayan saya haha, tetapi ketika saya mendapati keperluan untuk melakukannya, saya ingin memberi akses tetapi tanpa kemungkinan seseorang mungkin secara tidak sengaja melakukan sesuatu yang tidak semestinya 😀
Saya tidak pernah mencuba ini pada sistem BSD, jadi saya tidak dapat memberitahu anda bahawa ia akan berfungsi, tetapi jika anda mencari cara untuk mengunyah di BSD, sesuatu pasti akan keluar 😉
Terima kasih untuk rakan komen 🙂
Halo, saya menggunakan FreeBSD dan tentunya jailkit berfungsi sebenarnya di port
Anda memasangnya dengan arahan ini
cd / usr / port / shells / jailkit / && buat pemasangan bersih
Atau dengan paket ftp
pkg_add -r jailkit
Hanya dalam konfigurasi (kira: x: 1003: 1003 :: / home / kira: / bin / bash)
Anda perlu menambah tcsh atau sh, kecuali anda telah memasang bash dan menambah jalan ini
/ usr / local / bin / bash
Dan beberapa butiran lagi, di Ghost BSD proses serupa harus lebih sederhana kerana berdasarkan pada FreeBSD
salam
Hebat, saya mencarinya; adakah anda tahu adakah ia berfungsi di Centos ?? terima kasih.
Saya belum mengujinya di Centos, tetapi ya, ia mesti berfungsi :)
Sebenarnya saya ingat bahawa beberapa telah menggunakan alat yang sama ini pada pelayan Centos dan Red Hat 😉
Terima kasih banyak-banyak. Ia terus ke penanda buku.
Terima kasih kepada anda kerana memberi komen 🙂
"Trik" yang sangat baik, sangat berguna untuk pentadbir sys. Tetapi lebih baik, ditulis dengan baik. Apa lagi yang anda mahukan.
Terima kasih atas sumbangannya.
Terima kasih, terima kasih banyak atas komen anda 😀
salam
Puji SSH haha
Pernah saya membuat sangkar untuk ssh tetapi dalam gaya tradisional dan sebenarnya ia tidak pernah keluar dengan betul. Sekiranya sangkar berjalan, ia bahkan tidak memiliki bash, iaitu, ia tersambung dan tidak ada yang tersisa haha, jika cengkerang itu berfungsi, ia dapat naik dalam hierarki direktori dan banyak lagi quilombos haha, tetapi jailkit ini adalah alat ganti, ia mengotomatisasi semua perkara ... Sangat disyorkan
haha terima kasih.
Ya, sebenarnya SSH adalah satu keajaiban untuk apa yang memungkinkannya, yang sebenarnya tidak lebih daripada yang dibenarkan oleh sistem ... hore untuk Linux! ... haha.
Helo, soalan!
mengapa menukar rumah dari (1) / opt / penjara /./ rumah / kira menjadi (2) / rumah / kira
Kita mesti mengedit fail etc / passwd sangkar, iaitu, dalam hal ini akan menjadi / opt / jail / etc / passwd, di dalamnya kita memberi komen pada baris pengguna yang kita buat, dan menambahkan yang baru seperti:
kira: x: 1003: 1003 :: / rumah / kira: / bin / bash
Dengan kata lain, fail passwd akan kelihatan seperti ini:
akar: x: 0: 0: root: / root: / bin / bash
(1) #kira: x: 1003: 1003: ,,,: / opt / penjara /./ rumah / kira: / usr / sbin / jk_lsh
(2) kira: x: 1003: 1003 :: / rumah / kira: / bin / bash
Helo 🙂
Sekiranya tidak diatur, akses SSH tidak berfungsi, pengguna cuba menyambung tetapi diusir secara automatik ... nampaknya ini adalah bug atau masalah dengan jurubahasa yang dibawa oleh JailKit, kerana ketika membuat perubahan ini menunjukkan bahawa ia menggunakan sistem biasa, semuanya berfungsi.
Saya masih menutup sesi ssh: C
Suse 10.1 x64
Halo saya telah memasang ini dan berfungsi dengan baik dalam minda centos = D
tapi doa saya seperti lalu untuk menambahkan lebih banyak perintah misalnya kepada pengguna penjara
tidak dapat menjalankan perintah svn co http://pagina.com/carpeta
Maksud saya, perintah ini tidak ada untuk pengguna penjara dalam kes ini seperti yang lalu untuk menambahkan perintah ini ke penjara dan masih banyak lagi yang perlu saya tambahkan.
Helo, apa khabar?
Sekiranya anda ingin mengaktifkan perintah «svn» di Jail, anda mempunyai perintah jk_cp
Itu dia:
jk_cp / opt / penjara / / bin / svn
Ini dengan andaian svn binary atau boleh dilaksanakan adalah: / bin / svn
Dan biarkan Kandang / Penjara menjadi: / opt / penjara /
Anda akan menemui arahan yang bergantung pada yang lain, iaitu, jika anda menambahkan perintah «pepe», anda akan melihat bahawa anda juga mesti menambahkan «federico», kerana «pepe» bergantung pada «federico» yang akan dilaksanakan, jika anda menjumpainya kemudian anda menambah arahan yang diperlukan dan sudah 😉
Itu bagus, saya mengujinya pada masa yang sama, dan saya memberitahu anda apa yang berlaku, terima kasih banyak = D
Nasib baik 😀
Saya telah berjaya melakukan apa yang anda katakan kepada saya tetapi dengan cara ini dan secara automatik ia dapat mengesannya tanpa masalah. Ini adalah arahan yang saya gunakan untuk menggunakan subversi.
jk_cp -j / rumah / jaul svn
Baiklah saya menggunakan centos xP dan mungkin ia berbeza tetapi bagus
sekarang saya ingin tahu mana perpustakaan seperti svn tetapi sekarang saya ingin menyusun kerana katakanlah saya perlu menggunakan perintah seperti ini
./konfigurasi dan tandakan ralat
./configure.lineno: baris 434: expr: arahan tidak dijumpai
Saya tidak akan tahu perpustakaan mana yang sudah saya pasang apa itu mysql dan yang lain jika ia disusun di luar penjara tetapi tidak di dalam jaui.
maaf atas kesulitan.
ps: anda harus memasukkan panduan apa yang saya katakan kepada anda mengenai arahan yang digunakan dalam ucapan centos =).
Lihat, apabila saya memberitahu anda bahawa ia tidak dapat mencari perintah (seperti di sini) perkara pertama yang harus dilakukan adalah mencari perintah:
whereis expr
Setelah dijumpai (/ usr / bin / expr dan / usr / bin / X11 / expr) kami menyalinnya ke Jail dengan jk_cp 😉
Cuba ini untuk melihat.
Ya, saya sudah mengedit siaran dan menambah bahawa ia berfungsi di Centos 😀
Terima kasih banyak (:
Terima kasih atas inputnya ...
hello, apa khabar?
Fuck kawan! Dari Chile salam saya. Anda seperti kentut seperti saya! LOL !. Pelukan. Catatan anda telah banyak membantu saya!
Terima kasih atas komen anda 😀
Terima kasih banyak untuk siaran, ini banyak membantu saya, tetapi malangnya di bahagian
////////////////////////////////////////////////// //// ////////////////////////////////////////////// //////// //////////////////////
Kita mesti mengedit fail etc / passwd sangkar, iaitu, dalam hal ini akan menjadi / opt / jail / etc / passwd, di dalamnya kita memberi komen pada baris pengguna yang kita buat, dan menambahkan yang baru seperti:
kira: x: 1003: 1003 :: / rumah / kira: / bin / bash
Dengan kata lain, fail passwd akan kelihatan seperti ini:
akar: x: 0: 0: root: / root: / bin / bash
#kira: x: 1003: 1003: ,,,: / opt / penjara /./ rumah / kira: / usr / sbin / jk_lsh
kira: x: 1003: 1003 :: / rumah / kira: / bin / bash
////////////////////////////////////////////////// //// //////////////////////////////////////////
Ini menyebabkan saya ralat yang sama, maksud saya, saya membiarkannya seperti sedia ada, dan ia mengeluarkan saya dari terminal semasa menyambungkan ,,, .., saya memberi komen pada talian dan menambahkan satu lagi yang mengubahnya seperti yang anda nyatakan, dan ia juga but saya….
Pasang versi terbaru "jailkit-2.16.tar", malah buat skrip untuk menjimatkan masa, berikut ini:
////////////////////////////////////////////////// //// //////////////////////////////////////////////
#! / Bin / Bash
wget http://olivier.sessink.nl/jailkit/jailkit-2.16.tar.gz
tar -zxvf jailkit-2.16.tar.gz
cd jailkit-2.16
. / Konfigurasi
membuat
membuat memasang
keluar
////////////////////////////////////////////////// //// /////////////////////////////
Jelas sekali mereka log masuk sebagai "root" ...
Bagaimana saya dapat menyelesaikan rakan yang salah ????
Maaf, saya sudah faham, saya telah membuat kesilapan mengenai folder Laman Utama, tetapi saya mempunyai keraguan besar, bagaimana saya boleh mendapatkannya untuk membiarkan saya melaksanakan perintah "skrin", saya cuba menggunakannya (pada pengguna yang dikurung) , tetapi ia tidak berfungsi ... Perkara lain ialah, bagaimana cara saya membuat pengguna sangkar ini menjalankan program wain di exe yang baru saja dia masukkan ke dalam rumahnya, bagaimana keadaannya?
hello, tuto yang sangat baik! Saya baru mengenal persekitaran ini, saya mempunyai soalan ...
Untuk keselamatan, saya melihat bahawa di akarnya mempunyai banyak folder, adakah ia perlu? Saya hanya mahu dia mempunyai akses ke foldernya (ftp-upload dan ssh-execute) untuk menjalankan aplikasi, folder apa yang dapat dia hapus dari root? atau adakah ini tidak membahayakan saya? Saya menghargai pertolongan anda terlebih dahulu, salam!
@ KZKG ^ Gaara, syukurlah anda meletakkan kesalahan wheezy tetapi dengan versi jailkit-2.16.tar.gz yang anda sarankan mereka memperbaikinya
http://olivier.sessink.nl/jailkit/jailkit-2.16.tar.gz
Saya rasa saya akan menyebarkannya ke PDF, jojo .. ke kandang dan terima kasih wn 😀
Salam rakan, saya ada soalan:
Katakan kita mempunyai pengguna bernama "test".
Persoalannya ialah, file /home/test/.ssh/known_hosts yang terletak di rumah pengguna tersebut, adakah fail yang sama ini atau tidak dikurung pengguna?
Cuba ini. Adalah mungkin dengan kaedah ini untuk menyekat navigasi ke rumah pengguna yang lain.
Pertama sekali, terima kasih untuk jawatan itu! Ia sangat berguna bagi saya; tetapi saya mempunyai dua keraguan, dan ini timbul dari senario yang saya miliki:
Saya perlu membuat pengguna N dengan akses bebas dan peribadi ke rumah mereka, setiap pengguna hanya dapat mengakses rumah mereka untuk menyimpan, mengubah dan memadam fail yang terdapat di sana tanpa harus berpindah ke orang lain (saya sudah mempunyai perkara ini). Ia tidak memerlukan akses melalui ssh.
1. Adakah anda harus membuat kandang untuk setiap pengguna, atau apakah ada cara untuk memiliki pengguna yang berlainan dalam sangkar yang sama tetapi masing-masing mempunyai direktori "peribadi" mereka?
2. Semasa mengakses (melalui klien FTP) semua direktori yang dibuat oleh alat ditunjukkan. Adakah cara untuk menunjukkan folder dengan cara yang bersih? Atau adakah saya melakukan sesuatu yang salah di sepanjang jalan?
Tutorial yang sangat baik! Ini sangat membantu saya, saya mengujinya dengan versi 2.17 di Ubuntu 14.04 dan ia berfungsi dengan baik. Sekarang saya menghadapi cabaran berikut, setelah pengguna dikurung sehingga dia tidak dapat bergerak ke jalan mana pun, saya mahu dia hanya dapat melihat kandungan fail yang berada di jalan lain. Saya mencuba dengan pautan simbolik tetapi ketika cuba membuat ekor atau kucing ke fail ini, ia memberitahu saya bahawa ia tidak wujud walaupun ketika mengakses dengan pengguna saya dapat menyenaraikan fail itu di rumah kandang.
Sekiranya anda dapat menolong saya, saya akan sangat berterima kasih, terima kasih terlebih dahulu
Hai, saya telah mengikuti keseluruhan manual dan ketika log masuk dengan ssh ia ditutup secara automatik, mengesan:
4 Dis 19:20:09 toby sshd [27701]: Kata laluan yang diterima untuk ujian dari port 172.16.60.22 62009 ssh2
4 Dis 19:20:09 toby sshd [27701]: pam_unix (sshd: session): sesi dibuka untuk ujian pengguna oleh (uid = 0)
4 Dis 19:20:09 toby jk_chrootsh [27864]: kini memasuki penjara / opt / penjara untuk ujian pengguna (1004) dengan hujah
4 Dis 19:20:09 toby sshd [27701]: pam_unix (sshd: session): sesi ditutup untuk ujian pengguna
Terima kasih
Bukan ketika saya melakukan langkah terakhir untuk memberikan akses ssh kepada pengguna, ia masih menutup sambungan 🙁
Bolehkah dari pengguna ini membuat perubahan kepada root? anda -root? ia tidak membiarkan saya. Bagaimana keadaannya? Terima kasih atas bantuan anda
Terima kasih banyak untuk tutorial, saya memerlukannya untuk membuat pengguna yang dapat menggunakan clonezilla untuk membuat gambar dan menyalinnya ke pelayan pihak ketiga tetapi yang tidak dapat mengerumuni di mana sahaja dia mahu
Baik! Saya perlu mengetahui sesuatu.
Adakah mungkin masuk sebagai ROOT menggunakan FTP dan memiliki izin ini, untuk menguruskannya dengan FTP dan bukan dengan SSH? Katakan seperti membuat sambungan, gaya terowong atau semacamnya. Bagaimana ia dilakukan? Mengkonfigurasi fail VSFTPD?
Terima kasih banyak-banyak!