Использование /bin/bash в среде chroot - символическая ссылка или монтирование

Question

Использование /bin/bash в среде chroot - символическая ссылка или монтирование

Пользователь подключается через ssh. Пользователь также привязан к своему домашнему каталогу. Цель - безопасность.

Поскольку пользователь является пользователем chroot, при входе в систему он / bin / bash не найден. Очевидно, что пользователю нужны команды оболочки.

Доступ к оболочке может быть предоставлен
1) символическая ссылка / bin / bash на / home / имя пользователя
2) монтировать --bind через / etc / fstab - предпочтительный вариант, поскольку серверы часто перезагружаются.

Есть ли разница в безопасности между этими двумя вариантами?
Или есть третий, более безопасный вариант?

3

ssh security chroot fstab symlink

Источник

csi 14 июл '14 в 14:26

1 ответ

Решение

Другие вопросы по тегам ssh security chroot fstab symlink

maniaque 14 июл '14 в 14:54 2014-07-14 14:54 · Accepted Answer · 2014-07-14 14:54

Симлинк вам не поможет. Вам понадобится не только /bin/sh, но библиотеки. И специальные устройства, такие как /dev/null или же /dev/zero, И многое другое. Лучший способ - это не только символическая ссылка, но и жесткая ссылка. И обновление системы будет ОЧЕНЬ сложно.
mount выглядит немного лучше, но вы лучше посмотрите на autofs - поэтому он может монтировать каталог пользователя только тогда, когда это необходимо, например, когда пользователь входит в систему.

Я предпочитаю использовать LXC. Это похоже на расширенный chroot, поэтому вы можете запускать разные операционные системы под вашим ядром. И пользователи chroot для своих систем. Это вызывает больше использования диска, но разделение пользователей выглядит привлекательно.

Хороший пост серии от автора LXC