是否可以“监禁”Java 应用程序?
我的银行有一个小程序要求“不受限制地访问”我的计算机。这让我感到非常不安。
应该有一种方法可以告诉 java 运行时我的系统的根目录类似于 /Users/myuser/javajail ,这就是 java 可以访问的全部内容。
我的一个朋友有一台基于 xandros 的 Acer 上网本,她在世界各地旅行时一直希望从我那里获得一些远程管理和帮助。
我已经在她的上网本上设置了一个帐户供我通过 ssh 进入,并设置了一个脚本来将 ssh 隧道从她的上网本反向传输到我的服务器 - 这让我可以解决各种旅馆和酒店的防火墙等问题。一旦她通过 ssh 连接到我的服务器,我就可以通过 ssh 连接到她的上网本。
我有一个 bash 脚本,当她 ssh 进入我的服务器时,它作为她的 shell 运行,这只是给她一个“请稍候”的屏幕,唯一的选择是退出脚本,因此被启动从服务器。
我在我的服务器上为她创建的用户权限较低,但肯定会有一些漏洞利用,这意味着她可以通过 ssh 访问我的服务器。
我也在考虑使用 chroot jail,所以如果她逃脱,她只能访问她的主目录。
这是一个好主意吗,我是否可能错过了其他任何安全提示,以确保我的服务器安全,同时仍然允许我远程访问她的上网本?
澄清一下,我认为她不会试图逃离监狱或 chroot,但我想知道我如何防止这种情况发生以防万一。
更新:
对于我如何访问上网本或我可以放置在用户和我的硬件之间的其他层,您有任何其他建议吗?
我想知道 FreeBSD Jails 是否可以在 Mac OS X 或同等版本上使用?
security freebsd virtualization chroot-jail osx-snow-leopard
我试图让客户端 SFTP 访问我的服务器(Ubuntu 10.10)上他们网站的根目录,以便他们可以自己管理他们的网站。
虽然我已经成功地将用户监禁到一个目录并授予他们 SFTP 访问权限;他们只能在子目录(他们拥有的目录)中创建和删除新文件。这意味着我必须让他们访问其站点根目录的父目录。
到目前为止,我已按照本教程中的说明进行操作,如下所示:
addgroup filetransfer
usermod -G filetransfer username
chown root:root /home/username
chmod 755 /home/username
cd /home/username
mkdir docs public_html
chown username:username *
我如何才能将它们限制在其站点的根目录(例如 public_html),同时仍允许它们创建和删除文件。我读过的所有教程都建议 root 必须是用户主目录的所有者,这会阻止他们在该目录内进行写访问。
我对管理自己的服务器比较陌生,因此任何建议都将不胜感激。
非常感谢。
我最近了解更多fakechroot。AFAIK 这看起来很危险,因为它会提升用户权限,即使它位于 chroot 中。我知道,fakeroot但它不一样,因为你不能用它做任何需要根的事情。
但是,fakechroot您实际上可以在 chroot 中执行需要 root 权限的操作。那么这是否意味着使用fakechroot普通用户有可能获得 root chroot,然后在主机上以 root 身份突破?
我在他们的手册页上读到fakechroot不会升级用户权限,我不确定我是否完全理解。