abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Z GNOME Mutter zcela odstraněn backend X11
    dnes 01:00 | Komunita

    Z upstreamu GNOME Mutter byl zcela odstraněn backend X11. GNOME 50 tedy poběží už pouze nad Waylandem. Aplikace pro X11 budou využívat XWayland.

    Ladislav Hagara | Komentářů: 0
    Odstranění XSLT z webových prohlížečů
    dnes 00:00 | IT novinky

    Byl publikován plán na odstranění XSLT z webových prohlížečů Chrome a Chromium. S odstraněním XSLT souhlasí také vývojáři Firefoxu a WebKit. Důvodem jsou bezpečnostní rizika a klesající využití v moderním webovém vývoji.

    Ladislav Hagara | Komentářů: 0
    LXQt 2.3.0
    včera 15:55 | Nová verze

    Desktopové prostředí LXQt (Lightweight Qt Desktop Environment, Wikipedie) vzniklé sloučením projektů Razor-qt a LXDE bylo vydáno ve verzi 2.3.0. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Open Container Initiative Runtime Specification 1.3
    včera 05:55 | IT novinky

    Organizace Open Container Initiative (OCI) (Wikipedie), projekt nadace Linux Foundation, vydala Runtime Specification 1.3 (pdf), tj. novou verzi specifikace kontejnerového běhového prostředí. Hlavní novinkou je podpora FreeBSD.

    Ladislav Hagara | Komentářů: 0
    Turris Omnia NG v prodeji
    4.11. 11:33 | IT novinky

    Nový open source router Turris Omnia NG je v prodeji. Aktuálně na Allegro, Alternetivo, Discomp, i4wifi a WiFiShop.

    Ladislav Hagara | Komentářů: 22
    Sestříhané videozáznamy z konference OpenAlt 2025
    4.11. 05:44 | Komunita

    Na YouTube a nově také na VHSky byly zveřejněny sestříhané videozáznamy přednášek z letošního OpenAltu.

    Ladislav Hagara | Komentářů: 0
    SUSE Open House 2025: přijďte se podívat do kanceláří v pražském Karlíně
    4.11. 04:33 | Komunita

    Jednou za rok otevírá společnost SUSE dveře svých kanceláří široké veřejnosti. Letos je pro vás otevře 26. listopadu v 16 hodin v pražském Karlíně. Vítáni jsou všichni, kdo se chtějí dozvědět více o práci vývojářů, prostředí ve kterém pracují a o místní firemní kultuře. Můžete se těšit na krátké prezentace, které vám přiblíží, na čem inženýři v Praze pracují, jak spolupracují se zákazníky, partnery i studenty, proč mají rádi open source a co

    … více »
    SUSEMAS | Komentářů: 2
    Vývoj webového prohlížeče Ladybird (10/2025)
    4.11. 04:22 | Komunita

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za říjen (YouTube).

    Ladislav Hagara | Komentářů: 0
    Stav emulátorů terminálu v roce 2025
    4.11. 04:11 | Zajímavý článek

    Jeff Quast otestoval současné emulátory terminálu. Zaměřil se na podporu Unicode a výkon. Vítězným emulátorem terminálu je Ghostty.

    Ladislav Hagara | Komentářů: 11
    Amazon bude poskytovat cloudové služby OpenAI, hodnota kontraktu je 38 mld. dolarů
    3.11. 22:55 | IT novinky

    Amazon bude poskytovat cloudové služby OpenAI. Cloudová divize Amazon Web Services (AWS) uzavřela s OpenAI víceletou smlouvu za 38 miliard USD (803,1 miliardy Kč), která poskytne majiteli chatovacího robota s umělou inteligencí (AI) ChatGPT přístup ke stovkám tisíc grafických procesů Nvidia. Ty bude moci využívat k trénování a provozování svých modelů AI. Firmy to oznámily v dnešní tiskové zprávě. Společnost OpenAI také nedávno

    … více »
    Ladislav Hagara | Komentářů: 8
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (36%)
     (48%)
     (18%)
     (17%)
     (22%)
     (15%)
     (21%)
     (16%)
     (16%)
    Celkem 317 hlasů
     Komentářů: 15, poslední 2.11. 08:25
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Jak udělat bezpečný SSH chroot/jail na CentOS?
    Štítky: heslo, chroot, OpenSSH, pátek, SFTP, SSH

    Dotaz: Jak udělat bezpečný SSH chroot/jail na CentOS?

    12.7.2015 23:31 11010011
    Jak udělat bezpečný SSH chroot/jail na CentOS?
    Přečteno: 937×
    Ahoj. Na webovém serveru běží několik webů pro pár uživatelů. Ke správě souborů mají nyní přístup přes openssh s vynuceným SFTP chrootem. Chtěl bych to předělat tak, aby měli přístupné celé ssh a mohli si tak třeba měnit heslo, rozbalovat soubory apod. Chci, aby každý z nich měl vlastní chroot prostředí. Na internetu se dá najít spousta návodů, nicméně jak to udělat co možná nejbezpečnější? Je to již nějaký ten pátek, co jsem někde četl, že z většiny takových chrootů se dá snadno i vyskočit.

    Řešení dotazu:

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    13.7.2015 08:42 NN
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    cgroups
    13.7.2015 16:22 11010011
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    Tím můžu omezit využití zdrojů, ale pokud vím, tak tohle neumí zvýšit izolaci. Zkoušel někdo selinux sandbox nebo firejail případně kombinaci firejail s ssh chrootem?
    13.7.2015 18:26 NN
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    Myslel jsem neco ve smyslu cgroups ie. lxc, open-vz a izolovat jednotlive weby na urovni kontejneru a "delej si co chces" s tim, ze zdroje a HW by byl pod tvou spravou. Podle meho nazoru je chroot uz minulost, SW narocnost je zanedbatelna a skalovatelnost bude pohodlnejsi.
    Punny avatar 13.7.2015 19:58 Punny | skóre: 28 | Praha
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    Taky me LXC, nebo Docker napadl jako prvni, kdyz jsem cetl pozadavky
    13.7.2015 20:20 11010011
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    To jsem zvažoval čistě pro izolaci webů - nginx proxy a přesměrování požadavků do "apache" kontejnerů. Nicméně to mě tolik nepálí (není to velký nebo komerční hosting a chci šetřit zdroje) jako izolace toho SSH. Mám k dispozici jednu veřejnou IP adresu, takže kontejnerové ssh by znamenalo mít více docker instancí, každá s vlastním portem, co uživatel, to proces. To se mi nezdá moc efektivní. Zkoušel to tady někdo? Jak moc se to projeví na výkonu?
    13.7.2015 20:34 11010011
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    V podstatě všechny metody, které jsem našel používají upravený shell. Jak je bezpečnější ho vnutit? Přes definici v /etc/passwd nebo jako ForceCommand v sshd configu? Mám takový pocit, že defaultní shell šel obejít pomocí commandu definovaného u vygenerovaného veřejného klíče ... ???
    15.7.2015 12:40 11010011
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    Jen pro zajímavost tohle je docela pěkné: https://github.com/clevcode/docker-cmd, ale otázkou je jestli jsou taková řešení bezpečnější než chroot + selinux.
    22.7.2015 09:28 2X4B-523P | skóre: 38 | blog: Zelezo_vs_Debian
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    stale na spolecnem kernelu, mimochodem se tam o tom zminuje:
    Note that a kernel vulnerability could obviously be abused in order to break out of the Docker container regardless. The only way to be fully secure is to not keep any sensitive data/services on the same host as you are letting people log in to, even when using this.
    13.7.2015 18:04 zofrey
    Rozbalit Rozbalit vše Re: Jak udělat bezpečný SSH chroot/jail na CentOS?
    mam skoro pocit ze chroot a "menit se heslo" nejde moc dohromady

    jako zaklad bych nastavil uzivatele jako guest_u SELinux uzivatel, chroot /bin a /lib jen zaklad pro bash (ldd /bin/bash), no a mozna jeste privatni namespacy pro /tmp pres pam_namespace

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.