タグ付けされた質問 「chroot」

ユーザーMY_USERを作成しました。彼のホームディレクトリを/ var / www / RESTRICTED_DIRに設定します。これは、制限する必要があるパスです。それからsshd_configを編集して設定しました： Match user MY_USER ChrootDirectory /var/www/RESTRICTED_DIR その後、sshを再起動しました。RESTRICTED_DIRのMY_USER所有者（およびグループ所有者）を作成し、755に変更しました。 Accepted password for MY_USER session opened for user MY_USER by (uid=0) fatal: bad ownership or modes for chroot directory component "/var/www/RESTRICTED_DIR" pam_unix(sshd:session): session closed for user MY_USER sshd_configから2行を削除すると、ユーザーは正常にログインできます。もちろん、すべてのサーバーにアクセスできます。どうしたの？私はRESTRICTED_DIRをrootにチャネリングしようとしました（誰かがこの同じ問題を解決したことをどこかで読んだので）。運がありません。

57 ssh  chown  chroot 

* nixシステムでは、chrootを使用して、2つのプロセスを相互に分離したり、システムの残りの部分から分離したりできます。Windowsに同様のセキュリティシステムはありますか？または、2つのプロセスが互いにファイルを読み書きするのを防ぐ方法はありますか？

24 windows  windows-server-2008  security  chroot 

少数の信頼できる人がいくつかのファイルにアクセス/編集/作成できるように、sftpを設定しようとしています。ユーザーをホームディレクトリ（/ home / name）に投獄しましたが、問題が発生しました。ゲームサーバー、ウェブホストなどであるため、VPSの他の部分にもアクセスできるようにしたいと考えています。また、ジェイルされたディレクトリ外のファイルを完全に制御できるようにします。 目的のディレクトリにシンボリックリンク（ln -s）を作成しようとしましたが、期待どおりに機能しません。アクセスを許可したいファイルに（cp -rl）を試してみましたが、うまくいきました。彼らはディレクトリ内のファイルを編集でき、jailの外部に保存されているファイルを変更します。ただし、新しいファイルを作成することはできません（ただし、jail以外では更新できません）。私はおそらくこれを「正しい方法」でやっていないことを知っていますが、私が望むことをするために何ができますか？

22 sftp  chroot  symlink  jail  cp 

SSH経由でログインするほとんどの（すべてではない）ユーザーにchroot jailをセットアップしたいと思います。opensshの最新バージョンでは可能だと聞いたことがありますが、その方法を見つけることができませんでした。ハウツーはすべて、古いバージョンにパッチを適用することについて話しているため、パッチは使用できなくなりました。 debian etchを実行しています。

20 security  ssh  debian  chroot 

非rootユーザーがUbuntuでchrootプロセスを実行することは可能ですか？

18 ubuntu  root  chroot 

私はDebian安定版を実行しています。私の 'sftponly'グループのユーザー向けに次の環境を確立したいと考えています。 投獄された SFTPで転送できます SCPで転送できます SSHで対話的にログインできません 私の実験と研究から、sshd_configの次のスタンザで90％がそこに到達したようです： Match group sftponly ChrootDirectory /sftp/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp これにより、SFTPが投獄され、SSHは投獄されません。これは良いことです。しかし、SCPも無効にします。これは、かなりの数のクライアントがSFTPではなくSCPを使用するレガシーなスクリプトプロセスであるため、理想的ではありません（交換するサーバーは両方のプロトコルをサポートしています）。変更した場合、SCPを完全に無効にすることは実用的ではない可能性があります。 SCP接続を受信すると、sshdはユーザーのログインシェルを介してそのユーザーとして「scp」プロセスを生成するため、この構成ではSCPが無効になります。特別な 'internal-sftp'ハンドラーでない場合、SFTPでも同じことが通常当てはまるようです。 だから、私の質問は次のとおりだと思います：scponlyやrsshなどのサードパーティツールを使用せずに、「internal-sftp」と同じ効果を達成する方法はありますか？「internal-sftp」の本当に素晴らしい点は、サポートファイルを使用した刑務所のセットアップや、潜在的に悪用可能なサードパーティのsetuidバイナリ（特に、rsshにはエクスプロイトの履歴があります）を処理する必要がないことです。

16 ssh  sftp  scp  chroot  jail 

私は単純なchroot刑務所を作ろうとしているchroot初心者ですが、何度も何度も同じ問題に頭を打ち続けています...どんな助けでも大歓迎です 私は/usr/chroot刑務所として使用したいディレクトリを作成し、その下にサブディレクトリを作成し、その中に依存関係をコピーし/bin/bashました： [root@WIG001-001 ~]# cd /usr/chroot/ [root@WIG001-001 chroot]# ls [root@WIG001-001 chroot]# mkdir bin etc lib var home [root@WIG001-001 chroot]# ldd /bin/bash linux-vdso.so.1 => (0x00007fff99dba000) libtinfo.so.5 => /lib64/libtinfo.so.5 (0x00000037a2000000) libdl.so.2 => /lib64/libdl.so.2 (0x000000379fc00000) libc.so.6 => /lib64/libc.so.6 (0x000000379f800000) /lib64/ld-linux-x86-64.so.2 (0x000000379f400000) [root@WIG001-001 chroot]# cp /lib64/libtinfo.so.5 /usr/chroot/lib/ [root@WIG001-001 chroot]# cp /lib64/libdl.so.2 /udr/csr/chroot/lib/ [root@WIG001-001 chroot]# …

16 linux  chroot 

このチュートリアル（https://help.ubuntu.com/community/BasicChroot）を読みましたが、理解したことは、chrootは変更されたプロセスで/あり、作成された新しい制限された環境は「jail」です。しかし、一部の人々は私が間違っていると言い、chrootとjailは完全に異なるものです。 誰かが実際に簡単な言葉で違いを説明できますか？

13 linux  chroot  bsd 

私はここ数年、CentOSボックスで遊んでいます。だから私は端末にかなり満足しています。しかし、chrootは安全ではないと主張し、それらの投稿の量が怖いという多くのブログ投稿を読みました。本当にそうですか？どうして？ chrootを使用して、シェルまたはコマンドをまったく使用せずに、特定のコンテキストでSFTPのみのユーザーをロックダウンします。それで、本当に、それに関するセキュリティ問題は何ですか？ 質問はStackOverflowから追放されます。

13 linux  centos  security  chroot 

私はバインドで遊んでいると、このソフトウェアが、たとえば、chrootで実行されているCentOSにある理由を疑問に思い始めました。私を誤解しないでください、私はバインドが何であり、chroot（jail）が何であるかを知っています。しかし、私の主な質問は、chrootなしでバインドを実行することは非常に安全ではないということです。 刑務所なしでセットアップすることは本当に有害ですか（他のサービスやソフトウェアよりも）。システムでは、chrootなしで実行されている多くのプロセスがあり、それらのいずれかの侵害は非常に危険だと思いますが、chrootなしで実行されている他のソフトウェアよりもnamedがより危険なのはなぜですか？

12 linux  security  bind  chroot 

SFTPサーバーをセットアップしただけで、最初のユーザーアカウントから使用すると正常に機能します。「magnarp」と呼ぶユーザーを追加したかったのです。最初はsshd_configで次のようにしました： Subsystem sftp internal-sftp Match group sftponly ChrootDirectory /home/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp これで十分に機能し、ユーザーmagnarpはホームディレクトリに移動しました。次に、シンボリックリンクを追加しようとしました。 home$ sudo ln -s /home/DUMP/High\ Defenition/ /home/magnarp/"High Defenition" シンボリックリンクはSSHで正常に機能しましたが、SFTPでは機能しませんでした。 だから今私がしたいことは、Chrootグループに/ home / DUMPにsftponlyすることで、私はこのようにしました： Match group sftponly ChrootDirectory /home/DUMP X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp DUMPフォルダーには、次の権限があります。 drwxrwxrwx 5 root root 4096 aug 18 02:25 DUMP …

12 ubuntu  ssh  sftp  chroot 

1つのubuntuサーバーが3つのアプリをすべて別々のドメインでホストしています。 各アプリには独自の開発者がいます。 アプリ開発者は、linuxの「sftp」グループに属しています。 chroot各アプリ開発者にパスワードsftpアクセスを許可します。 /home/app1/prod /home/app2/prod /home/app3/prod sshd_config Match Group sftp PasswordAuthentication yes ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no 私たちの懸念は、他の2つのアプリで問題を引き起こす1つのアプリのプログラミングの脆弱性です。 chrootの代わりにlxcコンテナーを使用する必要がありますか？どうして？lxcコンテナーへの変更はアプリ開発者に透過的ですか？

10 ubuntu  security  sftp  chroot  lxc 

RPM .specの依存関係を隔離された環境にインストールできるツールはありますか？このような依存関係をシステムにグローバルにインストールすることはありません。ルート権限がないため、インストールできません。 理由 新しいバージョンのBに依存するパッケージAをビルドしたい（システムにグローバルにインストールできない）。 私は、新しいバージョンの構築したいBを、ビルド・ツールをインストールしましょうBは「S -develのビルドに必要なすべてのファイルを提供するために、隔離された環境にそれをA。 ソリューション これを行うためのツールはありますか？ そうでなければ、言うことでこれを行おうとするとき、私は何に注意すべきchrootですか？ これは悪い習慣でしょうか？

10 linux  chroot  rhel6  rpm 

私はphp-fpmをchrootingを有効にして設定しています。これで2つのオプションがあることがわかりました。正確な違いを知りたいのですが。 セットアップには以下があります。 chroot = /var/www/domains/domain.tld/ ; Chdir to this directory at the start. This value must be an absolute path. ; Default Value: current directory or / when chroot chdir = /docroot/ ここに2つの異なる場所がある理由と、phpがアクセスを許可されているパスはどれですか。/var/www/domains/domain.tld/PHP Webサイトにアクセスできますか、それともdocrootディレクトリ内のファイルにのみアクセスできます。 === 多分私にいくつかの具体的なアドバイスがあります。このような設定をしたい： ウェブルートの場所： /var/www/ domain.com/ |---conf/ | |--nginx.conf | |--php-fpm.conf | |---ssl/ |---logs/ |---session/ |---domains/ |---www/ …

10 php-fpm  chroot 

バックアップサーバーをセットアップしようとしています。各ユーザー（クライアント）をホームディレクトリにchrootし、sftpとrsyncの使用のみを許可します。 このようなことをしようとしているのは私だけではないことをすぐに発見し、このガイドを見つけてそれに従いました。だから今私はsftpだけでchrootされたユーザーを持っています。 次に、rsyncが他のマシンで自身を起動するためにsshを必要としていること、そしてsftpでは不十分であることを発見しました。各ユーザーにsshログインを提供することは、そもそも避けたいものです。 誰かがいくつかの可能な解決策を考えることができますか？ ありがとうございました、 マーク

10 ssh  backup  rsync  sftp  chroot