Në botën tonë ka shumë, shumë sekrete honest Unë sinqerisht nuk mendoj se mund të mësoj sa duhet për të njohur shumicën e tyre, dhe kjo jepet nga fakti i thjeshtë që Linux na lejon të bëjmë kaq shumë, por aq shumë gjëra sa është vështirë për ne t’i njohim të gjithë.
Këtë herë do të shpjegoj se si të bëjmë diçka jashtëzakonisht të dobishme, diçka që shumë administratorë të rrjetit ose sistemit duhet të bëjnë dhe ne e kemi pasur të vështirë që thjesht të mos gjejmë një mënyrë mjaft të thjeshtë për ta arritur atë:
Si të kafshoni përdoruesit që lidhen përmes SSH
kafaz? … WTF!
Po. Nëse për ndonjë arsye ne duhet t'i japim SSH akses një kompjuteri (ose serverit) tonë te një mik i yni, ne gjithmonë duhet të kujdesemi për sigurinë dhe stabilitetin e kompjuterit ose serverit tonë.
Ndodh që kohët e fundit kemi dashur t’i japim Perseus SSH akses në një server tonin, por nuk mund t’i japim asnjë lloj aksesi sepse atje kemi konfigurime vërtet të ndjeshme (kemi përpiluar shumë gjëra, paketa që kemi instaluar individualisht, etj. .) dhe nëse dikush që nuk Nëse mundohem të bëj edhe ndryshimin më të vogël në server, ekziston mundësia që gjithçka të shkojë dëm hehe.
Pastaj, Si të krijoni një përdorues me privilegje jashtëzakonisht të kufizuara, aq sa ai nuk mund të dalë as nga kafazi i tij (shtëpia)?
Le të fillojmë duke shkarkuar kuti burgu, një mjet që do të na lejojë ta bëjmë këtë:
1. Së pari ne duhet të shkarkojmë serverin tonë JailKit.
wget http://ftp.desdelinux.net/jailkit-2.14.tar.gz
2. Pastaj duhet të heqim zinxhirin e paketës dhe të fusim në dosjen që sapo u shfaq:
tar xzf jailkit-2.14.tar.gz && cd jailkit-2.14
3. Më vonë vazhduam përpilimin dhe instalimin e softuerit (Unë ju lë screenshot):
./configure
make
make install
4. Gati, kjo është instaluar tashmë. Tani vazhdojmë të krijojmë kafazin që do të përmbajë përdorues të ardhshëm, në rastin tim unë e krijova atë në: / opt / dhe e quajta "burg", kështu që rruga do të ishte: / zgjedhin / burg :
mkdir /opt/jail
chown root:root /opt/jail
5. Kafazi është krijuar tashmë, por nuk i ka të gjitha mjetet e nevojshme në mënyrë që përdoruesit e ardhshëm që do të jenë atje të mund të punojnë pa probleme. Dua të them, deri në këtë pikë kafazi është krijuar, por është thjesht një kuti e zbrazët. Tani ne do të vendosim në kafaz disa mjete që do të kenë nevojë përdoruesit e kafazit:
jk_init -v /opt/jail basicshell
jk_init -v /opt/jail editors
jk_init -v /opt/jail extendedshell
jk_init -v /opt/jail netutils
jk_init -v /opt/jail ssh
jk_init -v /opt/jail sftp
jk_init -v /opt/jail jk_lsh
6. Gati, kafazi ekziston dhe ai tashmë ka mjetet që përdoruesi mund t'i përdorë ... tani na duhet vetëm ... përdoruesi! Le të krijojmë përdoruesin kira dhe ne do ta fusim në kafaz:
adduser kira
jk_jailuser -m -j /opt/jail kira
cat /etc/passwd | grep jk_chroot
Nëse vëreni se nuk duket asgjë si pamja e ekranit, duhet të keni bërë diçka të gabuar. Lini një koment këtu dhe unë me kënaqësi do t'ju ndihmoj.
7. Dhe voila, përdoruesi është tashmë i mbyllur në kafaz ... por, ai është aq i kafaz, saqë nuk mund të lidhet nga SSH, sepse kur përpiqet të lidhë serverin nuk e lejon:
8. Për të lejuar përdoruesin të lidhet duhet të bëjmë një hap më shumë.
Ne duhet të redaktojmë skedarin etc / passwd të kafazit, domethënë, në këtë rast do të ishte / opt / burg / etc / passwd , në të ne komentojmë linjën e përdoruesit që kemi krijuar dhe shtojmë një të re si:
kira: x: 1003: 1003 :: / shtëpi / kira: / bin / bash
Kjo do të thotë, ne do ta kishim skedarin kështu passwd:
root: x: 0: 0: root: / root: / bin / bash
#kira: x: 1003: 1003: ,,,: / opt / burg /./ home / kira: / usr / sbin / jk_lsh
kira: x: 1003: 1003 :: / shtëpi / kira: / bin / bash
Vini re mirë shenjat e pikësimit dublikatë dhe të tjera, është e rëndësishme të mos hidhni asnjë prej tyre
Pasi ta bëni këtë, përdoruesi mund të hyjë pa ndonjë problem
Dhe kjo eshte e gjitha.
Mjeti që ne përdorim për të gjithë këtë (kuti burgu) përdorim në pjesën e prapme kroot, e cila është në të vërtetë ajo që përdorin pothuajse të gjitha udhëzimet. Sidoqoftë duke përdorur JailKit bëhet më e thjeshtë për të kafaz
Nëse dikush ka ndonjë problem apo diçka nuk është në rregull, lini sa më shumë detaje të jetë e mundur, unë nuk e konsideroj veten ekspert por do t'ju ndihmoj sa më shumë që të mundem.
atëherë do të ishte diçka si lejet në FTP? interesante
ju gjithmonë dilni me gjithçka që as nuk e dinit se ekzistonte, si përdoruesit në mysql xD
Jo saktësisht, sepse SSH nuk është e njëjtë me FTP. SSH është një predhë, domethënë një terminal ... ju do të ishit në një terminal në një kompjuter ose server tjetër, mund të ekzekutoni komanda, të filloni procese, etj ... ju do të bënit aq sa ju lejon administratori i serverit
hahahahahaha nah hajde, ajo që ndodh është që unë të botoj më shumë gjëra teknike ... dmth më pëlqen të botoj gjëra të vogla që nuk janë aq të njohura dhe interesante. Për shembull, unë personalisht nuk kam në plan të botoj diçka ditën kur do të dalë Ubuntu i ri, sepse besoj se shumë do të flasin tashmë për këtë ... megjithatë, ajo që lexoni këtu në postim, a nuk është diçka që lexohet çdo dite apo jo? 😀
Kontribute shumë të mira faleminderit
ekziston edhe një protokoll i quajtur sftp i cili është ftp dhe Shell i Sigurt së bashku, megjithëse nuk është i njëjtë me ekzekutimin e FTP mbi SSH: \
të fala
Po, me të vërtetë, por duke mbyllur SSH unë automatikisht kafaz kush lidhet duke përdorur SFTP, sepse siç thuani ju, SFTP është në të vërtetë SSH + FTP TP
të fala
Imazhet nuk mund të shihen !!! 🙁
Një gabim i imi hehe, më thuaj tani
Gati Faleminderit
shume mire, e tregoj tek te preferuarat e mia qe ta kem ne dispozicion kur te me duhet lol
Faleminderit, për ndonjë pyetje apo problem jemi këtu për t'ju ndihmuar
Ata e kanë Perseun në kafaz. http://i.imgur.com/YjVv9.png
LOL
xD
Si jeni.
E dini, është një temë që unë nuk jam shumë e njohur dhe që kisha kontrolluar në BSD (PC-BSD dhe Ghost BSD) dhe e konsideroj atë shumë interesante dhe me funksionalitete që mund të jenë shumë të dobishme.
Unë jam duke shkuar për të mbajtur atë për referencë dhe të kontrolloni atë kundër Doc BSD. Faleminderit për informacion.
As unë nuk isha i njohur me këtë, sepse kurrë nuk kam menduar t'i jap dikujt SSH akses në ndonjë nga serverat e mi haha, por kur pashë nevojën për ta bërë këtë, doja të jepja hyrje por pa mundësinë që dikush gabimisht të bënte diçka që nuk duhet
Unë kurrë nuk e kam provuar këtë në sistemet BSD, kështu që nuk mund t'ju them se do të funksionojë, por nëse po kërkoni si të bëni chroot në BSD, diçka duhet të dalë
Faleminderit për komentin shoku
Përshëndetje, unë përdor FreeBSD dhe sigurisht që jailkit funksionon në të vërtetë ky në porte
Ju e instaloni me këtë komandë
cd / usr / portet / predhat / jailkit / && instaloni pastër
Ose me pako ftp
jailkit pkg_add -r
Vetëm në konfigurim (kira: x: 1003: 1003 :: / home / kira: / bin / bash)
Ju duhet të shtoni tcsh ose sh, përveç nëse keni instaluar bash dhe shtoni këtë rrugë
/ usr / local / bin / bash
Dhe disa detaje më shumë, në Ghost BSD duhet të jetë procesi i ngjashëm edhe më i lehtë pasi bazohet në FreeBSD
të fala
E shkëlqyeshme, po e kërkoja; e dini nëse funksionon në Centos ?? Faleminderit.
Nuk e kam testuar në Centos, por po duhet të funksionojë :)
Në fakt mbaj mend që disa e kanë përdorur të njëjtin mjet në serverat Centos dhe Red Hat
Faleminderit shume. Shkon direkt te faqeshënuesit.
Faleminderit për komentin tuaj
"Truk" shumë i mirë, super i dobishëm për administratorët e sistemit. Por edhe më mirë, shkëlqyeshëm i shkruar mirë. Çfarë mund të dëshironi më shumë.
Ju faleminderit shumë për kontributin.
Faleminderit, faleminderit shumë për komentin tuaj
të fala
Lavdi SSH haha
Një herë u përpoqa të bëj një kafaz për ssh por në stilin tradicional dhe e vërteta është se nuk doli kurrë si duhet. Nëse kafazi ishte duke funksionuar, ai nuk kishte as një bash, domethënë ishte i lidhur dhe nuk kishte mbetur asgjë haha, nëse guaska po funksiononte, ajo mund të ngjitej në hierarkinë e direktorisë dhe shumë më tepër quilombos haha por ky jailkit është një topuz, automatizon të gjitha ato gjëra ... të rekomanduara
haha faleminderit.
Po, në të vërtetë SSH është e gjitha e mrekullueshme për atë që na lejon, e cila në të vërtetë nuk është asgjë më shumë sesa ajo që lejon sistemi kaq ... i tërbuar për Linux! … Haha
Përshëndetje, një pyetje!
pse të ndryshohet shtëpia nga (1) / opt / burg /./ shtëpi / kira në (2) / shtëpi / kira
Ne duhet të redaktojmë skedarin etj / passwd të kafazit, domethënë, në këtë rast do të ishte / opt / jail / etc / passwd, në të ne komentojmë në vijën e përdoruesit që kemi krijuar dhe shtojmë një të ri si:
kira: x: 1003: 1003 :: / shtëpi / kira: / bin / bash
Me fjalë të tjera, skedari passwd do të dukej kështu:
root: x: 0: 0: root: / root: / bin / bash
(1) #kira: x: 1003: 1003: ,,,: / opt / burg /./ home / kira: / usr / sbin / jk_lsh
(2) kira: x: 1003: 1003 :: / shtëpi / kira: / bin / bash
Pershendetje
Nëse kjo nuk është vendosur, hyrja në SSH nuk funksionon, përdoruesi përpiqet të lidhet, por përjashtohet automatikisht ... duket se është një defekt apo problem me interpretuesin që sjell JailKit, sepse kur bën këtë ndryshim tregon që përdor sistemi normal bash, gjithçka funksionon.
Unë ende e mbyll seancën ssh: C
Suse 10.1 x64
Pershendetje une kam instaluar kete dhe funksionon shume mire ne centos = D
por dua ime është si më parë për të shtuar më shumë komanda për shembull tek një përdorues i burgut
nuk mund të ekzekutojë komandën bashkë svn http://pagina.com/carpeta
Dua të them, kjo komandë nuk ekziston për përdoruesit e burgjeve në këtë rast si më parë për të shtuar këto komanda në burg dhe ka shumë më tepër që unë duhet të shtoj.
Pershendetje si jeni?
Nëse dëshironi të aktivizoni komandën «svn» në burg ju keni komandën jk_cp
Kjo eshte:
jk_cp / opt / burg / / bin / svn
Kjo duke supozuar binarin svn ose të ekzekutueshëm është: / bin / svn
Dhe le të jetë Kafazi / Burgu: / opt / burg /
Do të gjeni komanda që varen nga të tjerët, domethënë nëse shtoni komandën «pepe» do të shihni se duhet të shtoni edhe «federico», sepse «pepe» varet nga «federico» që do të ekzekutohet, nëse e gjeni këtë atëherë ju shtoni komandat e nevojshme dhe tashmë
Excellentshtë e shkëlqyeshme, unë po e provoj në të njëjtën kohë, dhe unë ju them se çfarë ka ndodhur, faleminderit shumë = D
Fat
Unë kam arritur të bëj atë që më the por në këtë mënyrë dhe automatikisht e ka zbuluar atë pa ndonjë problem.Kjo ishte komanda që kam përdorur për të qenë në gjendje të përdor përmbysjen.
jk_cp -j / shtëpi / jaul svn
Epo unë përdor centos xP dhe mbase është ndryshe por mirë
tani do të doja të dija cilat janë bibliotekat si svn por tani do të doja të përpiloja sepse le të themi se kam nevojë të përdor një komandë si kjo
./konfiguro dhe shëno gabimin
./configure.lineno: rreshti 434: expr: komanda nuk u gjet
Nuk do ta dija cilat janë bibliotekat që kam instaluar tashmë çfarë është mysql dhe të tjerët nëse përpilohet jashtë burgut, por jo brenda jaui.
me falni per shqetesimin.
ps: duhet të vendosni në udhëzues atë që ju thashë për komandën e përdorur në përshëndetje centos =).
Shikoni, kur ju them se nuk mund të gjejë një komandë (si këtu) gjëja e parë është të gjesh komandën:
whereis expr
Pasi të gjendemi (/ usr / bin / expr dhe / usr / bin / X11 / expr) ne e kopjojmë atë në burg me jk_cp
Provojeni këtë për të parë.
Po, unë tashmë e redaktoj postimin dhe shtoj se ai punon në Centos
Shumë faleminderit shumë (:
Faleminderit për kontributin
Pershendetje, si jeni
Qij tip! Nga Kili përshëndetjet e mia. Ju jeni pordhë si unë! LOL !. Përqafime. Postimi juaj ka qenë një ndihmë e madhe për mua!
Faleminderit për komentin tuaj
Faleminderit shumë për postimin, më ndihmoi shumë, por fatkeqësisht në pjesën e
////////////////////////////////////////////////// // /////////////////////////////////////////////// //// //////////////////////
Ne duhet të redaktojmë skedarin etj / passwd të kafazit, domethënë, në këtë rast do të ishte / opt / jail / etc / passwd, në të ne komentojmë në vijën e përdoruesit që kemi krijuar dhe shtojmë një të ri si:
kira: x: 1003: 1003 :: / shtëpi / kira: / bin / bash
Me fjalë të tjera, skedari passwd do të dukej kështu:
root: x: 0: 0: root: / root: / bin / bash
#kira: x: 1003: 1003: ,,,: / opt / burg /./ home / kira: / usr / sbin / jk_lsh
kira: x: 1003: 1003 :: / shtëpi / kira: / bin / bash
///////////////////////////////////////////////// //// /////////////////////////////////////////
Më shkakton të njëjtin gabim, dua të them, e lë ashtu siç është, dhe më çel nga terminali kur lidh ,,, .., Unë komentoj në rresht dhe shtoj një tjetër duke e modifikuar siç tregon ti, dhe gjithashtu çizme mua.
Instaloni versionin e fundit "jailkit-2.16.tar", madje krijoni një skenar për të kursyer kohë, këtu është më poshtë:
///////////////////////////////////////////////// // /////////////////////////////////////////////
#! / bin / bash
wget http://olivier.sessink.nl/jailkit/jailkit-2.16.tar.gz
tar -zxvf jailkit -2.16.tar.gz
cd jailkit-2.16
. / Configure
bërë
make install
dalje
////////////////////////////////////////////////// // ///////////////////////////
Padyshim së pari ata identifikohen si "rrënjë" ...
Si mund ta zgjidhja shokun e gabimit ????
Na vjen keq, tashmë e kuptova, kisha bërë një gabim në lidhje me dosjen Home, por kam një dyshim të madh, si mund ta gjej që të më lejojë të ekzekutoj komandën "ekran", përpiqem ta përdor atë (në përdoruesin në kafaz) , por nuk funksionon ... Një tjetër gjë është se, si mund ta bëj këtë përdorues të mbyllur në kafaze të drejtojë programin e verës në një exe që ai sapo vendosi brenda shtëpisë së tij, si do të ishte?
pershendetje, shume mire tuto! Unë jam i ri në këto mjedise, kam një pyetje ...
Sa i përket sigurisë, unë shoh që në rrënjën e saj ka shumë dosje, a janë të nevojshme? Unë thjesht dua që ai të ketë qasje në dosjen e tij (ftp-upload dhe ssh-ekzekutuar) për të ekzekutuar një aplikacion, cilat dosje mund të fshijë nga rrënja? apo nuk paraqet ndonjë rrezik për mua? Unë e vlerësoj ndihmën tuaj paraprakisht, përshëndetje!
@ KZKG ^ Gaara, shyqyr që vendosët gabimin e fishkur, por me versionin e jailkit-2.16.tar.gz që sugjeruat ta rregullonin
http://olivier.sessink.nl/jailkit/jailkit-2.16.tar.gz
Unë mendoj se do të kalojë atë në një PDF, jojo .. në kafaz dhe falënderime wn
Përshëndetje mik, kam një pyetje:
Supozoni se kemi një përdorues të quajtur "test".
Pyetja është, skedari /home/test/.ssh/known_hosts që ndodhet në shtëpinë e atij përdoruesi, a është skedari i njëjtë apo jo përdoruesi në kafaz?
Provoni këtë. Ju me këtë metodë mund të kufizoni lundrimin në shtëpinë tjetër të përdoruesve të tjerë.
Së pari, faleminderit për postimin! Beingshtë shumë e dobishme për mua; por kam dy dyshime dhe këto lindin nga skenari që kam:
Unë kam nevojë të krijoj përdorues N me qasje të pavarur dhe private në shtëpinë e tyre, secili përdorues mund të ketë qasje në shtëpinë e tij vetëm për të depozituar, modifikuar dhe fshirë skedarët që gjenden atje pa pasur nevojë të lëvizë tek të tjerët (unë tashmë e kam këtë pikë). Nuk kërkon qasje përmes ssh.
1. A duhet të krijoni një kafaz për secilin përdorues, apo a ka ndonjë mënyrë që të ketë përdorues të ndryshëm në të njëjtin kafaz, por secili të ketë drejtorinë e tij "private"?
2. Kur përdorni (përmes klientit FTP) të gjitha direktoritë e krijuara nga mjeti tregohen, a ka ndonjë mënyrë për ta treguar dosjen të pastër? Apo bëra diçka gabim gjatë rrugës?
Tutorial i shkëlqyeshëm! Ka qenë një ndihmë e madhe për mua, po e testoj me versionin 2.17 në Ubuntu 14.04 dhe funksionon shumë mirë. Tani unë kam sfidën e mëposhtme, pasi përdoruesi të bllokohet në mënyrë që ai të mos mund të lëvizë në asnjë rrugë, unë dua që ai të jetë në gjendje të shohë vetëm përmbajtjen e një skedari që është në një rrugë tjetër. Unë u përpoqa me një lidhje simbolike, por kur përpiqem të bëj një bisht ose një mace në këtë skedar ajo më tregon se nuk ekziston edhe pse kur të hyj me përdoruesin mund ta rendis atë skedar në shtëpinë e kafazit.
Nëse mund të më ndihmoni do të isha shumë mirënjohës, faleminderit paraprakisht
Përshëndetje, unë kam ndjekur të gjithë manualin dhe kur hyni me ssh mbyllet automatikisht, gjurmët:
4 dhjetor 19:20:09 toby sshd [27701]: Fjalëkalimi i pranuar për provë nga porti 172.16.60.22 62009 ssh2
Dhjetor 4 19:20:09 toby sshd [27701]: pam_unix (sshd: seancë): seanca e hapur për testin e përdoruesit nga (uid = 0)
4 dhjetor 19:20:09 toby jk_chrootsh [27864]: tani hyn në burg / opt / burg për përdoruesin test (1004) me argumente
Dhjetor 4 19:20:09 toby sshd [27701]: pam_unix (sshd: seanca): seanca e mbyllur për testin e përdoruesit
Falënderim
Jo kur bëj hapin e fundit të dhënies së hyrjes ssh te përdoruesi, ai përsëri e mbyll lidhjen
A mund të jetë e mundur nga ky përdorues i krijuar të ndryshojë në root? juaj -rrënjë? nuk me le. Si do të ishte? Faleminderit për ndihmën tuaj
Faleminderit shumë për tutorialin, më duhej për të krijuar një përdorues që mund të përdorte clonezilla për të bërë një imazh dhe për ta kopjuar atë në një server të palës së tretë, por që nuk mund të grumbullohej ku të dëshironte.
Mirë! Do të kisha nevojë të dija diçka.
A është e mundur të futeni si ROOT duke përdorur FTP dhe keni këto leje, për ta menaxhuar atë nga FTP dhe jo me SSH? Le të themi si krijimi i një lidhjeje, stili i tunelit apo diçka e tillë. Si bëhet? Po konfiguron skedarin VSFTPD?
Shume faleminderit!