Является ли chroot правильным выбором для моего варианта использования?
Предыстория:
Я работаю над настройкой сервера MineCraft и хочу предоставить администраторам доступ по ssh к консоли сервера MineCraft и соответствующему серверу mc файлы, но не вся система. Консоль, предоставляемая сервером minecraft, доступна только пользователю, запустившему процесс. Кроме того, администраторам потребуется терминальный доступ к некоторым базовым инструментам cli, таким как wget, cp, mv, rm и текстовый редактор.
План:
- Я уже настроил аспект ssh вещей, требуя предварительных общих ключей и еще много чего.
- Настройка среды, в которой будут находиться все действия пользователя.
- Настройка учетных записей пользователей.
- Первой учетной записью пользователя будет пользователь minecraft. Пользователь minecraft запустит сервер MC в сеансе многопользовательского экрана и разрешит другим администраторам подключаться к нему.
- Последующие пользователи должны иметь свой собственный каталог / home для нормального использования. - Установите acl для соответствующих файлов, чтобы каждый пользователь мог редактировать файлы mc-сервера.
Никто не будет обновлять систему, и никто не будет устанавливать какие-либо программы, поэтому я буду единственным пользователем с sudo.
Проблемы:
Я не хочу, чтобы пользователи ssh имели доступ ко всей системе. Пользователям по-прежнему нужно будет использовать wget или curl для обновления файлов mc-сервера. У меня нет опыта настройки среды chroot, и я нашел несколько инструментов, которые могут помочь в этом процессе. Jailkit кажется самым надежным, но его нет в стандартных репозиториях.
Вопросы:
- Является ли chroot правильным инструментом для этого варианта использования или есть что-то более подходящее для работы?
- Должна ли быть среда chroot для каждого пользователя или одна среда chroot для всех пользователей?
- Следует ли устанавливать chroot вручную или использовать один из доступных инструментов?
- Как обновления системы повлияют на среду chroot?
- Какой инструмент chroot наиболее удобен для новичков? Какой инструмент chroot является наиболее надежным?
- Будет ли ВМ лучшим решением в целом?
2 ответа
Я не буду отвечать по пунктам, так как я не знаю всех ответов, но я дам вам следующие указатели:
- Корень не очень трудно вырваться. ВМ несколько сложнее.
- ВМ гораздо проще в настройке и управлении, так как это полноценная ОС.
- chroot может иметь меньшую площадь, так как это не обязательно полная ОС.
- В любом случае гостевая среда не будет обновляться при запуске обновлений на хосте. Вам нужно будет ввести chroot или VM и обновить их вручную.
- Виртуальная машина имеет функцию, которая может быть хорошей или плохой для вас: обычно вы должны выделить для нее фиксированный объем памяти. Minecraft может быть очень требователен к памяти, поэтому вы можете использовать VM. С другой стороны, виртуальная машина будет простым способом установить жесткие ограничения на ресурсы, которые она может использовать.
- Ни виртуальная машина, ни chroot не наложат никаких внутренних ограничений на то, что пользователи могут делать по сети. Это может сделать только брандмауэр.
Использование chroot-тюрьмы по большей части является ложным чувством безопасности. Это делает честных пользователей честными. Если вы не доверяете пользователям войти в систему, вы должны предоставить им другую машину, ВМ.
Для обеспечения безопасности сети подключите компьютер Minecraft к другой зоне брандмауэра с очень строгими правилами. Если Minecraft работает на компьютере с брандмауэром, единственное безопасное решение - использовать виртуальные машины, работающие на этом компьютере.