Простой & amp; простой способ помешать пользователям

Question 1

Мне нужен простой и простой способ помешать пользователям в домашних каталогах в Oneiric.

Я бы предлагал бесплатный онлайн-сервер с открытым доступом на 10-20 ГБ свободного места. Я не знаю, сколько пользователей. Я хочу дать им SSH и SFTP, чтобы они могли подключаться через FileZilla.

Question 2

Вы не можете ограничивать их в / home, так как им нужен доступ к системным двоичным файлам и файлам bash и конфигурации в / etc

IMO. Самый простой способ обеспечения безопасности пользователей - использовать apparmor.

Вы создаете жесткую ссылку

ln /bin/bash /usr/local/bin/jailbash

Вы добавляете jailbash в / etc / shells

Затем вы назначаете jailbash для оболочки пользователя, а затем записываете профиль apparmor для jailbash разрешая минимальный доступ.

sudo chsh -s /usr/local/bin/jailbash user_to_confine

Вам нужно будет написать профиль apparmor самостоятельно, но у меня есть профиль, который вы могли бы начать с

http://bodhizazen.com/aa Представлены профили / bodhizazen / убунт-10,04 / usr.local.bin.jailbash

Question 3

Question 4

Трудно догадаться, какую цель вы, возможно, захотите выполнить. Если это означает, что ssh / sftp запрещает доступ через FTP ... easy:

Добавить в / etc / shells новую оболочку:

sudo -e /etc/shells

Добавить одну строку:

/bin/false

Сохранить. Для каждого пользователя, которого вы хотите отменить ssh / sftp, измените оболочку пользователя:

sudo chsh -s /bin/false userx

Теперь userx не может войти в систему через ssh / sftp.

Установить vsftpd:

sudo apt-get install vsftpd

Отредактируйте файл конфигурации:

sudo -e /etc/vsftpd.conf

И некоторые изменения ....

anonymous_enable=NO
local_enable=YES
chroot_local_user=YES

Сохранить. Перезапустить vsftpd:

sudo /etc/init.d/vsftpd restart

Question 5

Вы можете проверить rbash как оболочку для ваших пользователей.

man bash

Найти секцию RESTRICTED SHELL

Или посмотреть на этой странице http: // linux .die.net / человек / 1 / Баш

Question 6

Трудно догадаться, какую цель вы, возможно, захотите выполнить. Если это означает, что ssh / sftp запрещает доступ через FTP ... easy:

Добавить в / etc / shells новую оболочку:

sudo -e /etc/shells

Добавить одну строку:

/bin/false

Сохранить. Для каждого пользователя, которого вы хотите отменить ssh / sftp, измените оболочку пользователя:

sudo chsh -s /bin/false userx

Теперь userx не может войти в систему через ssh / sftp.

Установить vsftpd:

sudo apt-get install vsftpd

Отредактируйте файл конфигурации:

sudo -e /etc/vsftpd.conf

И некоторые изменения ....

anonymous_enable=NO
local_enable=YES
chroot_local_user=YES

Сохранить. Перезапустить vsftpd:

sudo /etc/init.d/vsftpd restart

Question 7

Question 8

Трудно догадаться, какую цель вы, возможно, захотите выполнить. Если это означает, что ssh / sftp запрещает доступ через FTP ... easy:

Добавить в / etc / shells новую оболочку:

sudo -e /etc/shells

Добавить одну строку:

/bin/false

Сохранить. Для каждого пользователя, которого вы хотите отменить ssh / sftp, измените оболочку пользователя:

sudo chsh -s /bin/false userx

Теперь userx не может войти в систему через ssh / sftp.

Установить vsftpd:

sudo apt-get install vsftpd

Отредактируйте файл конфигурации:

sudo -e /etc/vsftpd.conf

И некоторые изменения ....

anonymous_enable=NO
local_enable=YES
chroot_local_user=YES

Сохранить. Перезапустить vsftpd:

sudo /etc/init.d/vsftpd restart

Question 9

Трудно догадаться, какую цель вы, возможно, захотите выполнить. Если это означает, что ssh / sftp запрещает доступ через FTP ... easy:

Добавить в / etc / shells новую оболочку:

sudo -e /etc/shells

Добавить одну строку:

/bin/false

Сохранить. Для каждого пользователя, которого вы хотите отменить ssh / sftp, измените оболочку пользователя:

sudo chsh -s /bin/false userx

Теперь userx не может войти в систему через ssh / sftp.

Установить vsftpd:

sudo apt-get install vsftpd

Отредактируйте файл конфигурации:

sudo -e /etc/vsftpd.conf

И некоторые изменения ....

anonymous_enable=NO
local_enable=YES
chroot_local_user=YES

Сохранить. Перезапустить vsftpd:

sudo /etc/init.d/vsftpd restart

Panther · Answer 1 · 25 May 2018 в 15:24

Вы не можете ограничивать их в / home, так как им нужен доступ к системным двоичным файлам и файлам bash и конфигурации в / etc

IMO. Самый простой способ обеспечения безопасности пользователей - использовать apparmor.

Вы создаете жесткую ссылку

ln /bin/bash /usr/local/bin/jailbash

Вы добавляете jailbash в / etc / shells

Затем вы назначаете jailbash для оболочки пользователя, а затем записываете профиль apparmor для jailbash разрешая минимальный доступ.

sudo chsh -s /usr/local/bin/jailbash user_to_confine

Вам нужно будет написать профиль apparmor самостоятельно, но у меня есть профиль, который вы могли бы начать с

http://bodhizazen.com/aa Представлены профили / bodhizazen / убунт-10,04 / usr.local.bin.jailbash

6

ответ дан Panther 25 May 2018 в 15:24

1

You can not confine them to /home as they need access to the system binaries and bash and configuration files in /etc Ничто не мешает вам связывать / копировать файлы, которые, по вашему мнению, им нужны. – user606723 7 January 2012 в 03:52
2

Да, вы можете " можете " делать так, как предлагает пользователь606723, но это не так просто, а ИМО всех возможных решений наименее практичны или легки. Можно также построить chroot или использовать lxc. Вы копируете двоичный файл, затем библиотеки. Часто вам нужно вручную идентифицировать libs с помощью ldd. Этот метод требует много работы для настройки. И тогда вы должны держать тюрьму в курсе событий, вам придется вручную обновлять (копировать) бинарные файлы / библиотеки. Ссылки могут работать лучше с точки зрения обновлений, но вам все равно нужно их установить. Почему-то я не думаю, что это то, что имел в виду ОП. Как тогда их держать? – Panther 7 January 2012 в 04:08
3

Я думаю, что вся суть вопроса заключалась в том, чтобы указать инструменты для автоматизации этого процесса ... например jailkit, инструмент, о котором упоминает OP. – user606723 7 January 2012 в 04:28
4

@ bodhi.zazen. что вы думаете об этом .. debootstrap (oneiric), затем создайте контейнер, используя lxc. с использованием набора для тюленей & gt; пользователь в контейнер & gt; , что я сделал до сих пор, у меня есть debbootstrap oneiric minimum, а затем используется jailkit & gt; – One Zero 7 January 2012 в 20:44
5

вы можете использовать LXC для этой задачи, остерегайтесь того, что изоляция иногда неполна с LXC. До тех пор, пока у пользователей нет корневого доступа в контейнере, вы должны быть в порядке, и вы можете подписаться на список рассылки LXC. – Panther 7 January 2012 в 21:06

user · Answer 2 · 25 May 2018 в 15:24

Трудно догадаться, какую цель вы, возможно, захотите выполнить. Если это означает, что ssh / sftp запрещает доступ через FTP ... easy:

Добавить в / etc / shells новую оболочку:

sudo -e /etc/shells

Добавить одну строку:

/bin/false

Сохранить. Для каждого пользователя, которого вы хотите отменить ssh / sftp, измените оболочку пользователя:

sudo chsh -s /bin/false userx

Теперь userx не может войти в систему через ssh / sftp.

Установить vsftpd:

sudo apt-get install vsftpd

Отредактируйте файл конфигурации:

sudo -e /etc/vsftpd.conf

И некоторые изменения ....

anonymous_enable=NO
local_enable=YES
chroot_local_user=YES

Сохранить. Перезапустить vsftpd:

sudo /etc/init.d/vsftpd restart

ну, я хочу дать им ssh + sftp (connect через filezilla) — One Zero, 7 January 2012 в 11:55

Karlson · Answer 3 · 25 May 2018 в 15:24

Вы можете проверить rbash как оболочку для ваших пользователей.

man bash

Найти секцию RESTRICTED SHELL

Или посмотреть на этой странице http: // linux .die.net / человек / 1 / Баш

0

ответ дан Karlson 25 May 2018 в 15:24

1

Просто будьте очень осторожны с rbash, это очень легко вырваться из и вроде считаться устаревшим. См. blog.bodhizazen.net/linux/how-to-restrict-access-with-rbash – Panther 7 January 2012 в 03:43
2

@ bodhi.zazen Вы имеете в виду rbash? – Karlson 7 January 2012 в 03:47
3

да, извините, я это исправил. Несколько лет назад был блог, в котором кто-то сломал нашу тюрьму rbash, которую я установил, и я, хотя это была жесткая, минимальная тюрьма. Принимали их менее 5 минут. Никто не вырвался из тюрьмы. – Panther 7 January 2012 в 03:49
4

Может ли плз рассказать мне, как мне настроить его ... jailbash – One Zero 7 January 2012 в 19:24
5

да, man bash помогает, используя bash ограниченные возможности оболочки проще – c4f4t0r 26 February 2014 в 17:21

user · Answer 4 · 25 May 2018 в 15:24

Трудно догадаться, какую цель вы, возможно, захотите выполнить. Если это означает, что ssh / sftp запрещает доступ через FTP ... easy:

Добавить в / etc / shells новую оболочку:

sudo -e /etc/shells

Добавить одну строку:

/bin/false

Сохранить. Для каждого пользователя, которого вы хотите отменить ssh / sftp, измените оболочку пользователя:

sudo chsh -s /bin/false userx

Теперь userx не может войти в систему через ssh / sftp.

Установить vsftpd:

sudo apt-get install vsftpd

Отредактируйте файл конфигурации:

sudo -e /etc/vsftpd.conf

И некоторые изменения ....

anonymous_enable=NO
local_enable=YES
chroot_local_user=YES

Сохранить. Перезапустить vsftpd:

sudo /etc/init.d/vsftpd restart

user · Answer 5 · 25 May 2018 в 15:24

Трудно догадаться, какую цель вы, возможно, захотите выполнить. Если это означает, что ssh / sftp запрещает доступ через FTP ... easy:

Добавить в / etc / shells новую оболочку:

sudo -e /etc/shells

Добавить одну строку:

/bin/false

Сохранить. Для каждого пользователя, которого вы хотите отменить ssh / sftp, измените оболочку пользователя:

sudo chsh -s /bin/false userx

Теперь userx не может войти в систему через ssh / sftp.

Установить vsftpd:

sudo apt-get install vsftpd

Отредактируйте файл конфигурации:

sudo -e /etc/vsftpd.conf

И некоторые изменения ....

anonymous_enable=NO
local_enable=YES
chroot_local_user=YES

Сохранить. Перезапустить vsftpd:

sudo /etc/init.d/vsftpd restart

user · Answer 6 · 25 May 2018 в 15:24

Трудно догадаться, какую цель вы, возможно, захотите выполнить. Если это означает, что ssh / sftp запрещает доступ через FTP ... easy:

Добавить в / etc / shells новую оболочку:

sudo -e /etc/shells

Добавить одну строку:

/bin/false

Сохранить. Для каждого пользователя, которого вы хотите отменить ssh / sftp, измените оболочку пользователя:

sudo chsh -s /bin/false userx

Теперь userx не может войти в систему через ssh / sftp.

Установить vsftpd:

sudo apt-get install vsftpd

Отредактируйте файл конфигурации:

sudo -e /etc/vsftpd.conf

И некоторые изменения ....

anonymous_enable=NO
local_enable=YES
chroot_local_user=YES

Сохранить. Перезапустить vsftpd:

sudo /etc/init.d/vsftpd restart

Простой & amp; простой способ помешать пользователям

6 ответов

Другие вопросы по тегам:

Похожие вопросы: