Мне нужен простой и легкий способ сажать пользователей в домашние каталоги в Oneiric. У вас есть простая конфигурация для тюрьмы пользователей, с полной помощью или хорошими веб-ссылками?
Я хотел бы предложить онлайн бесплатный публичный сервер с 10-20 ГБ свободного места. Я не знаю, сколько пользователей. Я хочу дать им SSH и SFTP, чтобы они могли подключаться через FileZilla.
Ответы:
Jailkit - это набор утилит, которые могут ограничивать учетные записи пользователей определенным деревом каталогов и конкретными командами. Настроить джейл намного проще, используя утилиты Jailkit, которые делают это «вручную». Тюрьма - это дерево каталогов, которое вы создаете в своей файловой системе; пользователь не может видеть никаких каталогов или файлов, которые находятся за пределами каталога тюрьмы. Пользователь находится в тюрьме в этом каталоге и его подкаталогах.
Скачать и установить:
http://olivier.sessink.nl/jailkit/index.html#download
Настройка тюрьмы
Теперь пришло время настроить каталог тюрьмы. Заключенные в тюрьму пользователи увидят этот каталог как корневой каталог сервера. Я решил использовать / home / jail:
jk_init можно использовать для быстрого создания тюрьмы с несколькими файлами или каталогами, необходимыми для конкретной задачи или профиля (нажмите на нее и прочитайте полную информацию).
Добавить пользователя
Добавьте нового пользователя с домашним каталогом и оболочкой bash и установите пароль:
Теперь пришло время посадить этого пользователя в тюрьму
используйте следующую команду:
Вы
/etc/passwd
должны содержать что-то вроде этого сейчас:Включить Bash
Используя jk_cp, библиотеки bash копируются в тюрьму:
редактировать
/home/jail/etc/passwd
замените эту строку:
с этим:
Обслуживание
С помощью
jk_update
обновлений в реальной системе можно обновлять в тюрьме.Пробный прогон покажет, что происходит:
Без аргумента -d выполняется реальное обновление. Больше операций обслуживания можно найти здесь.
(В случае, если
/home/jail/opt
отсутствует, создайте егоmkdir -p /home/jail/opt/
и запуститьjk_update -j /home/jail
снова)Предоставить доступ к другим каталогам
Вы можете смонтировать специальные папки, к которым теперь может обратиться пользователь тюрьмы. Например:
Помощь принята
источник
Вы не можете ограничить их / home, поскольку им нужен доступ к системным двоичным файлам, файлам bash и конфигурации в / etc
ИМО самый простой способ защиты пользователей - это использовать apparmor.
Вы делаете жесткую ссылку
Вы добавляете джейлбэш в / etc / shells
Затем вы назначаете jailbash для пользовательской оболочки, а затем пишете профиль apparmor для jailbash, предоставляя минимальный доступ.
Вы должны будете написать профиль apparmor самостоятельно, но у меня есть профиль, с которого вы могли бы потенциально начать
http://bodhizazen.com/aa-profiles/bodhizazen/ubuntu-10.04/usr.local.bin.jailbash
источник
You can not confine them to /home as they need access to the system binaries and bash and configuration files in /etc
Ничто не мешает вам связывать / копировать файлы, которые вам нужны.jailkit
инструмент, который упоминает ОП.Трудно догадаться, какую цель вы хотите достичь. Если вы хотите запретить ssh / sftp при предоставлении доступа в тюрьму через FTP ... просто:
Добавьте в / etc / shells новую оболочку:
Добавьте одну строку:
Сохранить. Для каждого пользователя, которому вы хотите запретить ssh / sftp, измените оболочку пользователя:
Теперь userx не может войти через ssh / sftp.
Установите vsftpd:
Отредактируйте файл конфигурации:
И некоторые изменения ....
Сохранить. Перезапустите vsftpd:
источник
Вы можете проверить
rbash
в качестве оболочки для ваших пользователей.Искать
RESTRICTED SHELL
разделуИли посмотрите на этой странице http://linux.die.net/man/1/bash
источник
rbash
?