タグ付けされた質問 「jail」

1
FreeBSDの自動マウンターを小さな断片に切り刻み、油で煮ます
ホームディレクトリの階層をいくつかのFreeBSD刑務所にさらそうとしています。ホームディレクトリは、それぞれが一意のZFSデータセットになるように構成されます。刑務所は開発作業に使用されるため、定期的に作成および破棄されます。 私の最初の考えは、単純にnullfsを使用し/homeてjail内にマウントすることでしたが、nullfsは下位のファイルシステムにアクセスする方法を提供しません。 2番目の考えは、NFSを介してディレクトリをエクスポートしてから、各jail内でautomounterデーモン(amd)を実行することでした。刑務所内でNFSマウントを実行できる場合は、これでうまくいきます。しかし、そうではありません。 私の3番目の考えは、ホストでamdを実行し、jailにnullfsマウントをプロビジョニングすることでした...しかしnullfsの amdサポートは存在しません。 私の4番目の考えは、NFSを使用したディレクトリのエクスポートに戻ることでした。もちろん、amdはNFSで動作します。残念ながら、ターゲットのマウントポイントにディレクトリをマウントするのではなく、amdは一時的な場所(/.amd_mnt/...)にマウントしてから、もちろん、jail環境内では役に立たないシンボリックリンクを作成します。 だから、nullfsを使用してサブディレクトリを/.amd_mntjail に公開できますか?いや!これにより、nullfsを使用して下位ファイルシステムにアクセスする方法がないことがわかった最初の試みに戻ります。 そして、私の頭が爆発した。 私がやろうとしていることに対して良い解決策はありますか?悪いソリューションは複数作成することになり、刑務所起動後にスクリプトを実行することですNULLFSの各ホームディレクトリのマウントポイントを、これはかなり不格好である-それは、アカウントに新しいディレクトリまたは削除されたディレクトリを取るために定期的に実行する必要があります。したがって、基本的には、悪いオートマウンターを作成する必要があります。 より良い方法がなければなりません。Serverfault、私を助けてください、あなたは私の唯一の希望です! 更新1:で問題の一部を解決できるかもしれないと思いましたがpam_mount、これはせいぜい不完全です。また、ドキュメントからpam_mount、ターゲットマウントポイントを自動的に作成できるかどうかも明確ではありません。マウントポイントが先験的に存在する必要がある場合、この解決策は、私がすでに提案した悪い自動マウンターよりも優れていません。 更新2:以下の回答で説明したようVFCF_JAILに、NFSファイルシステムの設定により、刑務所はNFSマウントを実行できます。残念ながら、オートマウンタは役に立たない振る舞いを続けており、刑務所で実行すると、プロセスエントリを削除するためにシステムの再起動が必要になるような方法でくさびでくぐることに非常に優れているようです。

1
Fail2ban jail.localとjail.conf
jail.localファイルは、jail.confのオーバーライドまたはjail.confの置換として機能しますか? 私がチュートリアルからFail2Banについて学んでいたとき、それらのほとんどは通常、jail.confをjail.localにコピーしてそこで編集することを言い、一部は新しいjail.localファイルを作成し、コピーする設定の束を与えると言います貼り付けます。しかし、彼らが対処していないのは、jail.localがjail.confとどのように機能するかです。これらは2つのシナリオです。 オーバーライド: jail.localがjail.confファイルのオーバーライドとして機能する場合、必要なのは、jail.confで指定されているデフォルトにオーバーライドする必要な構成を追加することだけです。この場合、SSH configなどを追加する必要はありません。すでにjail.confに含まれているためです。 置換: jail.localが存在するときにjail.confが無効になった場合、jail.localにすべてのルールを追加してから、変更したいルールを編集する必要があります。 jail.localが存在するときにjail.confがどうなるかを確認できますか?jail.localがjail.confファイルの上のオーバーライドのように動作する場合、追加したい数行のルールだけを保持する方が簡単です。これにより、メンテナンスと読みやすさが容易になります。これに対する最善のアプローチは何ですか?

1
SFTP:投獄された(chrootされた)ディレクトリ内のファイルのシンボリックリンク
少数の信頼できる人がいくつかのファイルにアクセス/編集/作成できるように、sftpを設定しようとしています。ユーザーをホームディレクトリ(/ home / name)に投獄しましたが、問題が発生しました。ゲームサーバー、ウェブホストなどであるため、VPSの他の部分にもアクセスできるようにしたいと考えています。また、ジェイルされたディレクトリ外のファイルを完全に制御できるようにします。 目的のディレクトリにシンボリックリンク(ln -s)を作成しようとしましたが、期待どおりに機能しません。アクセスを許可したいファイルに(cp -rl)を試してみましたが、うまくいきました。彼らはディレクトリ内のファイルを編集でき、jailの外部に保存されているファイルを変更します。ただし、新しいファイルを作成することはできません(ただし、jail以外では更新できません)。私はおそらくこれを「正しい方法」でやっていないことを知っていますが、私が望むことをするために何ができますか?
22 sftp  chroot  symlink  jail  cp 

1
FreeBSD JailsまたはDockerインスタンス
FreeBSDのjailとLinuxのDockerの主な違いは何ですか?一方は他方よりもかなり安全ですか、それともパフォーマンスが高いですか?刑務所はDockerインスタンスよりもずっと古いため、コード自体はより安全であると考えることができます。しかし、Jailsは決して「追いつかない」ので、おそらくDockerインスタンスほど良くありませんか?それとも、LinuxがFreeBSDよりもずっと人気があるというだけの理由ですか?
18 docker  freebsd  jail 

5
OpenSSHは「internal-sftp」のようなものですが、SCP用ですか?
私はDebian安定版を実行しています。私の 'sftponly'グループのユーザー向けに次の環境を確立したいと考えています。 投獄された SFTPで転送できます SCPで転送できます SSHで対話的にログインできません 私の実験と研究から、sshd_configの次のスタンザで90%がそこに到達したようです: Match group sftponly ChrootDirectory /sftp/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp これにより、SFTPが投獄され、SSHは投獄されません。これは良いことです。しかし、SCPも無効にします。これは、かなりの数のクライアントがSFTPではなくSCPを使用するレガシーなスクリプトプロセスであるため、理想的ではありません(交換するサーバーは両方のプロトコルをサポートしています)。変更した場合、SCPを完全に無効にすることは実用的ではない可能性があります。 SCP接続を受信すると、sshdはユーザーのログインシェルを介してそのユーザーとして「scp」プロセスを生成するため、この構成ではSCPが無効になります。特別な 'internal-sftp'ハンドラーでない場合、SFTPでも同じことが通常当てはまるようです。 だから、私の質問は次のとおりだと思います:scponlyやrsshなどのサードパーティツールを使用せずに、「internal-sftp」と同じ効果を達成する方法はありますか?「internal-sftp」の本当に素晴らしい点は、サポートファイルを使用した刑務所のセットアップや、潜在的に悪用可能なサードパーティのsetuidバイナリ(特に、rsshにはエクスプロイトの履歴があります)を処理する必要がないことです。
16 ssh  sftp  scp  chroot  jail 


2
ユーザーがZFSデータセットを受信するために欠落しているアクセス許可をどのように判断できますか?
FreeNAS(11.1-U1)とFreeBSD(11.1-RELEASE-p6)マシンを持っています。FreeNASではzfs receive、委任された権限を持つ非ルートユーザーとして再帰的なスナップショットを作りたいです。これはほとんどの子データセットでうまく機能するようです。しかしdata、刑務所にマウントしてそこから管理できるiocageのデータセットは失敗します。 root@freebsd:~> zfs send -RI "dozer@2018-02-21" "dozer@2018-03-08" | ssh -T -i /root/backup_key backupuser@freenas zfs receive -dvuF neo/backups/freebsd receiving incremental stream of dozer@2018-03-03 into neo/backups/freebsd@2018-03-03 received 312B stream in 1 seconds (312B/sec) receiving incremental stream of dozer@2018-03-07 into neo/backups/freebsd@2018-03-07 received 312B stream in 1 seconds (312B/sec) receiving incremental stream of …

3
より重い仮想化の下でLXCを使用する(Xen、KVM、Hyper-V、VMVare)
より重い仮想化(Xen DomU、KVM、Hyper-V、VMVare)の下でLXCを使用することは可能ですか?セキュリティ(分離)ツールとして使用したいのですが、リソースの消費を制限する機能は優先されません。それが簡単な方法で行えるかどうかだけに興味があります。非仮想化サーバーでのLXCの使用に似ています。本番サーバーでトリッキーなセットアップを使いたくありません。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.