And*_*ndy 9 linux security chroot-jail
我的一个朋友有一台基于 xandros 的 Acer 上网本,她在世界各地旅行时一直希望从我那里获得一些远程管理和帮助。
我已经在她的上网本上设置了一个帐户供我通过 ssh 进入,并设置了一个脚本来将 ssh 隧道从她的上网本反向传输到我的服务器 - 这让我可以解决各种旅馆和酒店的防火墙等问题。一旦她通过 ssh 连接到我的服务器,我就可以通过 ssh 连接到她的上网本。
我有一个 bash 脚本,当她 ssh 进入我的服务器时,它作为她的 shell 运行,这只是给她一个“请稍候”的屏幕,唯一的选择是退出脚本,因此被启动从服务器。
我在我的服务器上为她创建的用户权限较低,但肯定会有一些漏洞利用,这意味着她可以通过 ssh 访问我的服务器。
我也在考虑使用 chroot jail,所以如果她逃脱,她只能访问她的主目录。
这是一个好主意吗,我是否可能错过了其他任何安全提示,以确保我的服务器安全,同时仍然允许我远程访问她的上网本?
澄清一下,我认为她不会试图逃离监狱或 chroot,但我想知道我如何防止这种情况发生以防万一。
更新:
对于我如何访问上网本或我可以放置在用户和我的硬件之间的其他层,您有任何其他建议吗?
chroot 监狱会有所帮助,但是通过让某人进入 shell 的漏洞,他们仍然能够看到进程表等,并运行程序,可以想象进一步的漏洞。如果你想真正积极地隔离外部用户,这有点像在蚂蚁上使用榴弹炮,但你可以为整个 ssh 隧道机制设置一个虚拟专用服务器。那么他们能做的最糟糕的事情就是毁坏 VPS,除非有能力突破 VPS,这是一个相当高的门槛。
| 归档时间: |
|
| 查看次数: |
1697 次 |
| 最近记录: |