abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Vývoj Zigu přesunut z GitHubu na Codeberg
    dnes 04:55 | Komunita

    Vývoj programovacího jazyka Zig byl přesunut z GitHubu na Codeberg. Sponzoring na Every.

    Ladislav Hagara | Komentářů: 0
    KDE Plasma 6.8 už pouze nad Waylandem
    dnes 04:44 | Komunita

    Stejně jako GNOME i KDE Plasma končí s X11. KDE Plasma 6.8 poběží už pouze nad Waylandem. Aplikace pro X11 budou využívat XWayland.

    Ladislav Hagara | Komentářů: 0
    Europoslanci vyzvali k zákazu sociálních sítí pro osoby mladší 16 let
    včera 14:55 | IT novinky

    Poslanci Evropského parlamentu dnes vyzvali k výraznému zvýšení ochrany nezletilých na internetu, včetně zákazu vstupu na sociální sítě pro osoby mladší 16 let. Legislativně nezávazná zpráva, kterou dnes odsouhlasil Evropský parlament poměrem 493 hlasů pro ku 92 proti, kromě zavedení věkové hranice 16 let pro využívání sociálních sítí, platforem pro sdílení videí či společníků s umělou inteligencí (AI) vyzývá také k zákazu … více »

    Ladislav Hagara | Komentářů: 19
    Doom v KiCadu nebo na osciloskopu? Žádný problém
    včera 14:11 | Humor

    Doom v KiCadu nebo na osciloskopu? Žádný problém: KiDoom: Running DOOM on PCB Traces a ScopeDoom: DOOM on an Oscilloscope via Sound Card.

    Ladislav Hagara | Komentářů: 3
    Rocky Linux 10.1
    včera 12:44 | Nová verze

    Po AlmaLinuxu byl v nové stabilní verzi 10.1 vydán také Rocky Linux. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    TRX 1.0
    včera 04:00 | Zajímavý software

    Open source reimplementace počítačových her Tomb Raider I a Tomb Raider II spolu s dalšími vylepšeními a opravami chyb TRX byla vydána ve verzi 1.0. Jedná se o sloučení projektů / enginů TR1X a TR2X do jednoho TRX. Videoukázka na YouTube.

    Ladislav Hagara | Komentářů: 1
    Seznam.cz spouští Seznam Asistenta
    25.11. 17:00 | IT novinky

    Společnost Seznam.cz spouští konverzační nástroj založený na umělé inteligenci Seznam Asistent. Asistent využívá vlastní jazykový model SeLLMa a dočasně i komerční modely od OpenAI provozované v evropských datacentrech prostřednictvím Microsoft Azure. Dlouhodobým cílem Seznamu je provozovat Asistenta výhradně na interních jazykových modelech a ve vlastních datových centrech.

    Ladislav Hagara | Komentářů: 8
    LibrePods, sluchátka AirPods s Androidem a Linuxem
    25.11. 11:55 | Zajímavý software

    Software LibrePods osvobozuje bezdrátová sluchátka AirPods z ekosystému Applu. Exkluzivní funkce AirPods umožňuje využívat na Androidu a Linuxu. Díky zdokumentování proprietárního protokolu AAP (Apple Accessory Protocol).

    Ladislav Hagara | Komentářů: 1
    AlmaLinux OS 10.1
    25.11. 05:00 | Nová verze

    Byl vydán AlmaLinux OS 10.1 s kódovým názvem Heliotrope Lion. S podporou Btrfs. Podrobnosti v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Služba Mozilla Monitor Plus bude 17. prosince ukončena
    25.11. 04:33 | Komunita

    Placená služba prohledávání zprostředkovatelů dat a automatického odstraňování uniklých osobních údajů Mozilla Monitor Plus bude 17. prosince ukončena. Bezplatná monitorovací služba Mozilla Monitor bude i nadále poskytovat okamžitá upozornění a podrobné pokyny k omezení rizik úniku dat. Služba Mozilla Monitor Plus byla představena v únoru loňského roku.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (35%)
     (46%)
     (19%)
     (18%)
     (22%)
     (16%)
     (24%)
     (16%)
     (17%)
    Celkem 406 hlasů
     Komentářů: 17, poslední 19.11. 21:57
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Jak udělat bezpečný SSH chroot/jail na CentOS?
    Štítky: heslo, chroot, OpenSSH, pátek, SFTP, SSH

    Dotaz: Jak udělat bezpečný SSH chroot/jail na CentOS?

    12.7.2015 23:31 11010011
    Jak udělat bezpečný SSH chroot/jail na CentOS?
    Přečteno: 951×
    Ahoj. Na webovém serveru běží několik webů pro pár uživatelů. Ke správě souborů mají nyní přístup přes openssh s vynuceným SFTP chrootem. Chtěl bych to předělat tak, aby měli přístupné celé ssh a mohli si tak třeba měnit heslo, rozbalovat soubory apod. Chci, aby každý z nich měl vlastní chroot prostředí. Na internetu se dá najít spousta návodů, nicméně jak to udělat co možná nejbezpečnější? Je to již nějaký ten pátek, co jsem někde četl, že z většiny takových chrootů se dá snadno i vyskočit.

    Řešení dotazu:

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    13.7.2015 08:42 NN
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    cgroups
    13.7.2015 16:22 11010011
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    Tím můžu omezit využití zdrojů, ale pokud vím, tak tohle neumí zvýšit izolaci. Zkoušel někdo selinux sandbox nebo firejail případně kombinaci firejail s ssh chrootem?
    13.7.2015 18:26 NN
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    Myslel jsem neco ve smyslu cgroups ie. lxc, open-vz a izolovat jednotlive weby na urovni kontejneru a "delej si co chces" s tim, ze zdroje a HW by byl pod tvou spravou. Podle meho nazoru je chroot uz minulost, SW narocnost je zanedbatelna a skalovatelnost bude pohodlnejsi.
    Punny avatar 13.7.2015 19:58 Punny | skóre: 28 | Praha
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    Taky me LXC, nebo Docker napadl jako prvni, kdyz jsem cetl pozadavky
    13.7.2015 20:20 11010011
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    To jsem zvažoval čistě pro izolaci webů - nginx proxy a přesměrování požadavků do "apache" kontejnerů. Nicméně to mě tolik nepálí (není to velký nebo komerční hosting a chci šetřit zdroje) jako izolace toho SSH. Mám k dispozici jednu veřejnou IP adresu, takže kontejnerové ssh by znamenalo mít více docker instancí, každá s vlastním portem, co uživatel, to proces. To se mi nezdá moc efektivní. Zkoušel to tady někdo? Jak moc se to projeví na výkonu?
    13.7.2015 20:34 11010011
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    V podstatě všechny metody, které jsem našel používají upravený shell. Jak je bezpečnější ho vnutit? Přes definici v /etc/passwd nebo jako ForceCommand v sshd configu? Mám takový pocit, že defaultní shell šel obejít pomocí commandu definovaného u vygenerovaného veřejného klíče ... ???
    15.7.2015 12:40 11010011
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    Jen pro zajímavost tohle je docela pěkné: https://github.com/clevcode/docker-cmd, ale otázkou je jestli jsou taková řešení bezpečnější než chroot + selinux.
    22.7.2015 09:28 2X4B-523P | skóre: 38 | blog: Zelezo_vs_Debian
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    stale na spolecnem kernelu, mimochodem se tam o tom zminuje:
    Note that a kernel vulnerability could obviously be abused in order to break out of the Docker container regardless. The only way to be fully secure is to not keep any sensitive data/services on the same host as you are letting people log in to, even when using this.
    13.7.2015 18:04 zofrey
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    mam skoro pocit ze chroot a "menit se heslo" nejde moc dohromady

    jako zaklad bych nastavil uzivatele jako guest_u SELinux uzivatel, chroot /bin a /lib jen zaklad pro bash (ldd /bin/bash), no a mozna jeste privatni namespacy pro /tmp pres pam_namespace

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.