Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Konference OpenAlt 2025 hledá přednášející

včera 17:11 | Komunita

Konference OpenAlt 2025 hledá přednášející. Proběhne o víkendu 1. a 2. listopadu na půdě Fakulty informačních technologií VUT v Brně. Témata konference jsou: Otevřený a svobodný software, IoT a Hnutí tvůrců, Vzdělávání, Bezpečnost a soukromí, Otevřená společnost, komunity a data, OpenMobility a další.

Ladislav Hagara | Komentářů: 0

Raspberry Pi Official Magazine 153

včera 15:33 | Zajímavý článek

Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 153 (pdf)

Ladislav Hagara | Komentářů: 0

Novinky z vývoje Asahi Linuxu – květen 2025 / Linux 6.15

včera 12:22 | Komunita

Byl publikován květnový přehled dění a novinek z vývoje Asahi Linuxu, tj. Linuxu pro Apple Silicon. Vývojáře lze podpořit na Open Collective a GitHub Sponsors.

Ladislav Hagara | Komentářů: 0

Rust slaví 10 let od vydání verze 1.0. Vydána verze 1.87.0

15.5. 21:33 | Nová verze

Programovací jazyk Rust (Wikipedie) dnes slaví 10 let od vydání verze 1.0. Přímo na oslavě byla vydána nová verze 1.87.0. Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 0

Brusel obvinil provozovatele TikToku z porušování pravidel EU

15.5. 14:44 | IT novinky

Evropská komise obvinila provozovatele čínské platformy TikTok z porušování pravidel EU kvůli netransparentnosti v reklamě. Komise, která v EU plní i funkci antimonopolního úřadu, to dnes uvedla v tiskové zprávě. TikTok, který patří čínské firmě ByteDance, se může k předběžnému nálezu vyjádřit. Pokud ale podezření komise nevyvrátí, hrozí mu pokuta až do šesti procent z ročního globálního obratu.

Ladislav Hagara | Komentářů: 16

Sovereign Tech Agency podpoří GFortran částkou 360 000 eur

14.5. 20:44 | Komunita

Sovereign Tech Agency (Wikipedie), tj. agentura zabezpečující financování svobodného a otevřeného softwaru německou vládou, podpoří GFortran částkou 360 000 eur.

Ladislav Hagara | Komentářů: 0

Microsoft hodlá zrušit zhruba 3 % pracovních míst

14.5. 14:00 | IT novinky

Microsoft hodlá zrušit zhruba tři procenta pracovních míst. Microsoft na konci loňského června zaměstnával kolem 228.000 lidí. Tři procenta z tohoto počtu představují téměř 7000 pracovních míst.

Ladislav Hagara | Komentářů: 16

Místní šetření ÚOHS ve společnosti Seznam.cz bylo nezákonné, konstatoval soud

14.5. 13:33 | IT novinky

V říjnu loňského roku provedl Úřad pro ochranu hospodářské soutěže (ÚOHS) místní šetření u společnosti Seznam.cz. Krajský soud v Brně tento týden konstatoval, že toto šetření bylo nezákonné.

Ladislav Hagara | Komentářů: 16

Branch Privilege Injection, bezpečnostní problém procesorů Intel

13.5. 22:22 | Bezpečnostní upozornění

Branch Privilege Injection (CVE-2024-45332, Paper) je nejnovější bezpečnostní problém procesorů Intel. Intel jej řeší ve včerejším opravném vydání 20250512 mikrokódů pro své procesory. Neprivilegovaný uživatel si například může přečíst /etc/shadow (YouTube).

Ladislav Hagara | Komentářů: 2

Vývoj Firefoxu přesunut z Mercurialu na Git (GitHub)

13.5. 14:22 | Komunita

Dle plánu byl vývoj Firefoxu přesunut z Mercurialu na Git. Oficiální repozitář se zdrojovými kódy je na GitHubu.

Ladislav Hagara | Komentářů: 7

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 26, poslední 8.5. 09:58

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Jak udělat bezpečný SSH chroot/jail na CentOS?

Štítky: heslo, chroot, OpenSSH, pátek, SFTP, SSH

Dotaz: Jak udělat bezpečný SSH chroot/jail na CentOS?

12.7.2015 23:31 11010011
Jak udělat bezpečný SSH chroot/jail na CentOS?

Přečteno: 925×

Odpovědět | Admin

Ahoj. Na webovém serveru běží několik webů pro pár uživatelů. Ke správě souborů mají nyní přístup přes openssh s vynuceným SFTP chrootem. Chtěl bych to předělat tak, aby měli přístupné celé ssh a mohli si tak třeba měnit heslo, rozbalovat soubory apod. Chci, aby každý z nich měl vlastní chroot prostředí. Na internetu se dá najít spousta návodů, nicméně jak to udělat co možná nejbezpečnější? Je to již nějaký ten pátek, co jsem někde četl, že z většiny takových chrootů se dá snadno i vyskočit.

Řešení dotazu:

Nástroje: Začni sledovat (1) ?

Odpovědi

13.7.2015 08:42 NN
Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?

cgroups

13.7.2015 16:22 11010011
Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?

Tím můžu omezit využití zdrojů, ale pokud vím, tak tohle neumí zvýšit izolaci. Zkoušel někdo selinux sandbox nebo firejail případně kombinaci firejail s ssh chrootem?

13.7.2015 18:26 NN
Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?

Myslel jsem neco ve smyslu cgroups ie. lxc, open-vz a izolovat jednotlive weby na urovni kontejneru a "delej si co chces" s tim, ze zdroje a HW by byl pod tvou spravou. Podle meho nazoru je chroot uz minulost, SW narocnost je zanedbatelna a skalovatelnost bude pohodlnejsi.

13.7.2015 19:58 Punny | skóre: 28 | Praha
Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?

Taky me LXC, nebo Docker napadl jako prvni, kdyz jsem cetl pozadavky

13.7.2015 20:20 11010011
Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?

To jsem zvažoval čistě pro izolaci webů - nginx proxy a přesměrování požadavků do "apache" kontejnerů. Nicméně to mě tolik nepálí (není to velký nebo komerční hosting a chci šetřit zdroje) jako izolace toho SSH. Mám k dispozici jednu veřejnou IP adresu, takže kontejnerové ssh by znamenalo mít více docker instancí, každá s vlastním portem, co uživatel, to proces. To se mi nezdá moc efektivní. Zkoušel to tady někdo? Jak moc se to projeví na výkonu?

13.7.2015 20:34 11010011
Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?

V podstatě všechny metody, které jsem našel používají upravený shell. Jak je bezpečnější ho vnutit? Přes definici v /etc/passwd nebo jako ForceCommand v sshd configu? Mám takový pocit, že defaultní shell šel obejít pomocí commandu definovaného u vygenerovaného veřejného klíče ... ???

15.7.2015 12:40 11010011
Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?

Jen pro zajímavost tohle je docela pěkné: https://github.com/clevcode/docker-cmd, ale otázkou je jestli jsou taková řešení bezpečnější než chroot + selinux.

22.7.2015 09:28 2X4B-523P | skóre: 38 | blog: Zelezo_vs_Debian
Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?

stale na spolecnem kernelu, mimochodem se tam o tom zminuje:

Note that a kernel vulnerability could obviously be abused in order to break out of the Docker container regardless. The only way to be fully secure is to not keep any sensitive data/services on the same host as you are letting people log in to, even when using this.

13.7.2015 18:04 zofrey
Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?

mam skoro pocit ze chroot a "menit se heslo" nejde moc dohromady

jako zaklad bych nastavil uzivatele jako guest_u SELinux uzivatel, chroot /bin a /lib jen zaklad pro bash (ldd /bin/bash), no a mozna jeste privatni namespacy pro /tmp pres pam_namespace

Založit nové vlákno • Nahoru

Tiskni Sdílej: