Linux系统下jailkit的安装与使用示例
程序员文章站
2023-08-28 18:02:42
这篇文章主要介绍了Linux系统下jailkit的安装与使用示例,包括用jailkit 建立受限的SSH帐户的大概方法,需要的朋友可以参考下... 15-08-10...
jailkit 是一款能够在一个chroot jail中快速创建受限用户帐户的工具集。它包含了一个安全日志守护进程,shells可以限制用户,开启和设置chroot jail守护进程的工具。
【操作步骤】
1.下载相关软件:
复制代码
代码如下: wget -c http://olivier.sessink.nl/jailkit/jailkit-2.11.tar.gz
2.解压编译安装等操作
复制代码
代码如下: tar zxvf jailkit-2.11.tar.gz
cd jailkit-2.11
./configure
make && make install
cp extra/jailkit /etc/init.d/
chmod 755 /etc/init.d/jailkit
chkconif jailkit on
cd jailkit-2.11
./configure
make && make install
cp extra/jailkit /etc/init.d/
chmod 755 /etc/init.d/jailkit
chkconif jailkit on
3.安装比较简单,就上述步骤,请下来就是配置chroot环境。
a. 创建个chroot目录:
复制代码
代码如下: mkdir /home/sky // # /home/sky也就是虚拟的根目录
b.初始化虚拟的根(chroot)环境:(复制相应的链接库到/home/sky/目录)
复制代码
代码如下: jk_init -v -j /home/sky/ sftp scp ssh jk_lsh extendedshell
其实这一步就是相对于重构一个小的系统,/home/sky就是根目录,然后创建
这个子系统所需要相应链接库等相关目录或文件。
4.基础配置完置,接下来就是测试过程,是否满足开始的需求:
a.创建测试用户:有两种方法,可以用系统自带的命令,或者使用/usr/sbin/jk_addjailuser.
复制代码
代码如下: jk_addjailuser -d /home/test3 /home/sky/ test3 #创建test3用户
如果系统用户已经创建好,只需要移动到chroot环境下,命令如下
复制代码
代码如下: jk_jailuser -m -n -j /home/sky/ --shell=/bin/bash test1
echo "111111" |passwd test1 --stdin //# 更改密码,方便后面ssh测试.
echo "111111" |passwd test1 --stdin //# 更改密码,方便后面ssh测试.
完成上述步骤后,进行测试。
【测试步骤】
复制代码
代码如下: su - test1 ##切换为test1用户
pwd
/home/test1
cd /tmp
bash: cd: /tmp: no such file or directory
touch a
mkdir tmp //# 建立tmp目录,注意这里是/home/test1/tmp,
其实对应的系统目录是/home/sky/home/tes1/tmp.不要理解错了。
再使用ssh来测试。
ssh test1@192.168.3.xx
test1@192.168.3.xx's password:
pwd
/home/test1
cd /tmp
bash: cd: /tmp: no such file or directory
touch a
mkdir tmp //# 建立tmp目录,注意这里是/home/test1/tmp,
其实对应的系统目录是/home/sky/home/tes1/tmp.不要理解错了。
再使用ssh来测试。
ssh test1@192.168.3.xx
test1@192.168.3.xx's password:
还是一样的效果,可以多测试。到了这里,就有个问题如何限制到使用有限的命令呢?
我们看下
复制代码
代码如下: ls -l /home/sky/
总计 28
drwxr-xr-x 2 root root 4096 11-09 10:34 bin
drwxr-xr-x 2 root root 4096 11-09 10:34 dev
drwxr-xr-x 3 root root 4096 11-09 10:34 etc
drwxr-xr-x 5 root root 4096 11-10 20:34 home
drwxr-xr-x 2 root root 4096 11-09 10:34 lib
drwxr-xr-x 2 root root 4096 11-09 10:34 lib64
drwxr-xr-x 7 root root 4096 11-09 10:34 usr
总计 28
drwxr-xr-x 2 root root 4096 11-09 10:34 bin
drwxr-xr-x 2 root root 4096 11-09 10:34 dev
drwxr-xr-x 3 root root 4096 11-09 10:34 etc
drwxr-xr-x 5 root root 4096 11-10 20:34 home
drwxr-xr-x 2 root root 4096 11-09 10:34 lib
drwxr-xr-x 2 root root 4096 11-09 10:34 lib64
drwxr-xr-x 7 root root 4096 11-09 10:34 usr
# 现在大家明白了,只需要把bin目录下的文件给删除,那么用户就不能使用相应的命令[/code]
使用jailkit 建立受限的ssh帐户
ssh tunnel是一个非常有用的东西,比如创建 ssh 隧道:
复制代码
代码如下:ssh -qtfnn -d 7070 user_name@host_home
但是在分享 ssh 帐户的时候,发现如果不限制这个 ssh 用户的目录,则服务器所有文件将被一览无余。经过寻找,找到了chroot工具 jailkit。可以让管理员建立一个专用的用户提供ssh tunnel服务,避免其看到服务器上的文件。
首先将home/jail(也可以是其他目录)设定为jail目录
[/code]
mkdir /log
jk_init -v -j /log basicshell ssh jk_lsh[/code]
建立用户,并添加到jail中
复制代码
代码如下:useradd onlinelog
passwd onlinelog
jk_jailuser -m -j /log -s /bin/bash onlinelog
jk_cp -v -k -f -j /log /usr/bin/tail
jk_cp -v -k -f -j /log /usr/bin/vim
jk_cp -v -k -f -j /log /usr/bin/id
passwd onlinelog
jk_jailuser -m -j /log -s /bin/bash onlinelog
jk_cp -v -k -f -j /log /usr/bin/tail
jk_cp -v -k -f -j /log /usr/bin/vim
jk_cp -v -k -f -j /log /usr/bin/id
启动jailkit
复制代码
代码如下:service jailkit start
ok,然后这个用户就相当于运行在一个小型的独立环境中了。
其他
jailkit的作用不仅仅可以建立一些只能使用特定命令的帐户。从资料上看,jailkit可以:
限制用户活动范围和权限
搭建安全的ssh多用户环境
辅助建立安全的生产环境
上一篇: 实战经验之国外站赚美元的五大前提条件
下一篇: 详解Linux系统中的守护进程