linux chroot shell,Linux chroot Shell —— 简单chroot指定用户

最新推荐文章于 2021-12-16 11:52:25 发布
最新推荐文章于 2021-12-16 11:52:25 发布
阅读量481 收藏
点赞数
文章标签: linux chroot shell

对于Linux服务器,有时需要开放登录权限给一部分用户,但并非所有用户都愿意安分守己,也无法知道谁是不安分守己的,给多一个这些用户开放登录权限,系统的威胁就多了一分。

目前来说比较好的方案是chroot,调用了chroot(),就能把的根目录改成指定的根目录。何为根目录?顾名思义,“根”就是所有目录的“根”,一切目录均从“根”而生,没有“根”就没有其他目录,换句话说,“根目录”就是最原始的目录。你无法访问“根”之前前的数据,没有“根”的时候,怎么可以发展数据呢?

二进制程序chroot乃GNU的核心程序中的一个,Linux发行版本一般都有Coreutils,不过二进制版的chroot在这种情况下帮不上忙,因为仅有特权用户(root)才能调用chroot(),why?想想如果任何人都能调用chroot,如果用户自建了一个自定义了root密码的根文件系统,那他岂不是可以chroot进去后把自己提升为root?

SSH自带chroot功能,不过也仅仅是帮你chroot,如果让所有用户共享一个chroot文件系统,一个用户的数据可能会泄露到其他用户手上,要让不同用户使用不同chroot文件系统,管理和配置起来又麻烦。不仅如此,每chroot一个用户,就需要更改SSH的配置文件,记录多了异常麻烦。

如何简单地管理chroot文件系统,还方便地chroot用户?

Linux-CHROOT-SHELL就是为了解决此问题而生的。

拥有了Linux-CHROOT-SHELL,你只需要建立且维护一个chroot根文件系统。

拥有了Linux-CHROOT-SHELL,你可以让所有用户使用的chroot环境相互隔离。

拥有了Linux-CHROOT-SHELL,你不再需要维护多余的配置文件,繁杂的配置记录。

多说没用,下面让我来告诉大家如何使用Linux-CHROOT-SHELL。

Linux-CHROOT-SHELL由C语言编写,代码托管在GIT服务器上,因此需要安装gcc与git:

Default

apt-get install gcc git

1

apt-getinstallgccgit

从GIT服务器上获取源码,并进入源码目录:

Default

git clone https://git.coding.net/yzs/Linux-CHROOT-SHELL.git

cd Linux-CHROOT-SHELL

1

2

gitclonehttps://git.coding.net/yzs/Linux-CHROOT-SHELL.git

cdLinux-CHROOT-SHELL

编译Linux-CHROOT-SHELL:

Default

gcc main.c -o /usr/bin/chroot_shell

1

gccmain.c-o/usr/bin/chroot_shell

一切无误后,编译完毕的二进制文件将会存放到/usr/bin/chroot_shell。

由于调用chroot(),内核的要求是特权用户身份,因此需要给予用户临时的root权限,不过不用担心,一旦chroot完毕后,本shell将会自动把身份更改为原用户的身份:

Default

chmod u+s,g+s /usr/bin/chroot_shell

1

chmodu+s,g+s/usr/bin/chroot_shell

执行这条命令后,程序将会获得set uid和set gid属性,所有执行本程序的用户都可以取得文件所有者和所属群组的权限,所以必须确保本文件的所有者和所属群组为root。不过,既然你编译的时候能把文件输出到/usr/bin/,那你一定是以用root身份操作的,那么本文件的所有者和所属群组也必定是root。

接下来构建chroot文件系统:

Default

mkdir -p /srv/chroot/jessie/

wget http://mirrors.ustc.edu.cn/openvz/template/precreated/debian-8.0-x86_64-minimal.tar.gz -O- | tar zxvf - -C /srv/chroot/jessie/

1

2

mkdir-p/srv/chroot/jessie/

wgethttp://mirrors.ustc.edu.cn/openvz/template/precreated/debian-8.0-x86_64-minimal.tar.gz -O- | tar zxvf - -C /srv/chroot/jessie/

为了简单起见,这里直接使用了OpenVZ的模板构建chroot文件系统。

构建完毕后,可以对根文件系统进行设置:

Default

chroot /srv/chroot/jessie/ /bin/su - -l

1

chroot/srv/chroot/jessie//bin/su--l

例如更改/etc/resolv.conf中所设置的DNS服务器。

设置完毕后,执行exit退出:

Default

exit

1

exit

最后一步,创建用户:

创建用户的方法和平常差不多,只不过需要把用户的Shell指定为/usr/bin/chroot_shell:

Default

useradd -ms /usr/bin/chroot_shell chroot_user

1

useradd-ms/usr/bin/chroot_shellchroot_user

添加用户成功后,更改用户密码:

Default

echo "chroot_user:password" | chpasswd

1

echo"chroot_user:password"|chpasswd

如果要更改原有用户的Shell,使用usermod即可:

Default

usermod -s /usr/bin/chroot_shell chroot_user

1

usermod-s/usr/bin/chroot_shellchroot_user

别忘了,还要同步passwd的记录到chroot文件系统:

Default

\cp -ar /etc/passwd /srv/chroot/jessie/etc/passwd

1

\cp-ar/etc/passwd/srv/chroot/jessie/etc/passwd

可以把这个命令写到cron任务中,实现周期性同步。

接下来,你可以尝试使用指定了chroot_shell的用户登录:

31fd4b7dab21371ec8e0e21fb8d91e17.png

620d4059074b5bb1207e016b55c27008.png

可以看到,chroot_user和chroot_user2互相无法访问对方的目录,根据下图,可以看出两个chroot的用户无法访问原根存在的文件,说明chroot成功:

db5075352bdf187f25a95fbc865324bf.png

不仅如此,chroot后,用户还能访问自己家目录原有的数据,此外,除了用户自己的家目录和/tmp,所有其他目录均为只读模式,/tmp也实现了隔离,所有用户使用的/tmp不相干扰,相互独立。

由于没有挂载/proc和/dev,用户自然无法调用程序查看系统信息。

有了chroot shell,chroot用户变得简单起来,再也不用担心给了用户登录权限后,给服务器增加安全隐患了。

葛店小学张洪雨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
chroot
阳光梦的专栏
10-10 1130
chroot   chroot[--help][--version][目的目录][执行指令...] [功能] 把根目录换成指定的目的目录. [描述] ‘chroot’使用一个指定的根目录运行命令,在大多数系统上,仅限于超级用户可以做这个动作。 通常情况下,搜索文件名开始于根目录结构。比如‘/’。‘chroot’命令可以更改根路径到新的指定的路径。 使用chroot,实现了如下等功
linux指定用户运行命令,linux里面以指定用户运行命令
weixin_36015213的博客
04-30 2115
一、chroot方式[root@localhost ~]# chroot --userspec "nginx:nginx" "/" sh -c "whoami"nginx[root@localhost ~]# chroot --userspec "kibana:kibana" "/" sh -c "whoami"kibana以kibana用户启动kibana示例:chroot --userspec...
为特定用户创建监牢 chroot
weixin_34319640的博客
11-15 75
什么是chroot?有什么好处? 这里不多介绍.这里直说我的环境和做法.最后给一个自动脚本. 环境: centos 5.4 64位 需求: 在一台物理机器上,要跑很多java应用.但是每个应用可能不是同一个人负责维护.但是又需要控制他们的权限,使他们之间不能互相访问. 实现: 配置chroot环境.一个脚本完成. 把jdk和resin拷贝到...
linux限制用户访问目录6,使用 chroot 监狱限制 SSH 用户访问指定目录
weixin_32596893的博客
05-01 361
将SSH 用户会话限制访问到特定的目录内,特别是在 web 服务器上,这样做有多个原因,但最显而易见的是为了系统安全。为了锁定 SSH 用户在某个目录,我们可以使用chroot机制。在诸如 Linux 之类的类 Unix 系统中更改 root(chroot)是将特定用户操作与其他 Linux 系统分离的一种手段;使用称为chrooted 监狱的新根目录更改当前运行的用户进程及其子进程的明...
linux 命令:chroot详解
yspg_217的博客
12-16 3222
linux 命令:chroot详解
alpine-chroot-install:轻而易举地在chroot中安装Alpine Linux。 在Travis CI或任何其他x86_64 CI上构建ARM
05-27
chroot中安装Alpine Linux 该alpine-chroot-install脚本简化了使用在任何x86_64 Linux系统上进行测试的安装。 可选地,它还利用qemu-user和binfmt来模拟不同的体系结构。 该脚本的主要目的是在基于Ubuntu的CI...
jail-shell:Jail-shell是一种Linux安全工具,主要使用chroot,名称空间技术,限制用户执行特定命令以及访问单独目录
02-05
jail-shell:Jail-shell是一种Linux安全工具,主要使用chroot,名称空间技术,限制用户执行特定命令以及访问单独目录
pactest:在chroot中测试AUR软件
04-16
例子 安装使用您喜欢的AUR助手来安装pactest-git paru -S pactest-git用法设置chroot pactest -s 在chroot中安装软件pactest -i example 在chroot中执行软件pactest -x example 删除chroot pactest -d chroot转换为...
油煎面包块:Chromium OS通用Chroot环境
02-02
油煎面包块:Chromium OS通用Chroot环境crouton是一组脚本,它们捆绑成一个易于使用的,以Chromium OS为中心的chroot生成器。 目前支持Ubuntu和Debian(在后台使用debootstrap),但是“ Chromium OS Debian,Ubuntu...
alpine-kindle-chroot-builder:用于生成与Amazon Kindle设备兼容的Alpine Linux chroot环境的脚本
02-21
高山kindlechroot生成器用于生成与Amazon Kindle设备兼容的Alpine Linux chroot环境的脚本。目的Amazon Kindle系列设备使用最小的受限Linux环境,缺少在更完整发行版中发现的许多功能。 该存储库使您可以使用原本不...
git-restrict:git存储库权限管理的简单实用程序
04-01
git限制 一个最小的实用程序,当与ssh的authorized_keys文件中的命令指令一起使用时,它允许基于ssh密钥进行存储库权限管理。 如果使用,它将仅允许git-upload-pack和git-receive-pack因为允许特定用户/ SSH密钥运行的命令。 git-restrict也被编译为静态二进制文件,因此在chroot环境中很容易使用它。 这显然是故意的。 基本用法 $ cat ~/.ssh/authorized_keys command="/usr/bin/git-restrict repo0 repo1 repo2" ssh-ed25519 AAA...1 user0@machine command="/usr/bin/git-restrict repo3 repo0" ssh-ed25519 AAA.Z user1@machine 查看contrib目录以查看
[zz]如何将普通用户设置在chroot环境中?
Braveo的专栏
09-09 2281
原文在:http://linux.chinaunix.net/bbs/viewthread.php?tid=910998首先创建一个chroot环境jailroot;编译下面程序,并且将其chmod u+s将用户的登陆shell设置为这个程序,这样一来用户登陆后就被chroot到/home/hank/jailroot了#include #include #include int main(int
linux chroot shell,linuxchroot失败 – 无法运行命令`/ bin / bash’:没有这样的文件或目录...
weixin_42458282的博客
05-13 1607
我是一个chroot新手试图做一个简单chroot监狱但我一次又一次地对着同样的问题敲我的头……任何帮助都将受到大力赞赏我创建了一个目录/usr/chroot,我想用它作为jail并在其下创建子目录并将/ bin / bash的依赖项复制到其中:[root@WIG001-001 ~]# cd /usr/chroot/[root@WIG001-001 chroot]# ls[root@WIG001...
Chroot相关
寻找自我,挑战自我!
11-25 3836
Chroot相关 一:定义 chroot,即 change root directory (更改 root 目录)。在 linux 系统中,系统默认的目录结构都是以 `/`,即是以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 `/` 位置。 二:背景 以前,Unix/Linux上的daemon都是以root权限启动的。当时,这似乎是一件理所当然的
扩展10 把用户困在家目录-chroot ???
xiaoyuerp的博客
08-09 310
chroot--实现系统普通用户在限定目录下活动  http://blog.51cto.com/yunyuncolor/382817  chroot限制普通用户登录特定目录 http://blog.51cto.com/ttxsgoto/1793409 chroot命令   http://man.linuxde.net/chroot Vsftpd下如何把用户限制在家目录中 https...
chroot限制普通用户登录特定目录
weixin_33908217的博客
06-27 1037
需求:普通用户登陆到服务器上只能执行ssh,ls,cat等有限的基础命令,另外要求把用户锁定在特定目录中,不能看到其他任何目录下文件创建查看日志的用户useradd -m ttxsgoto -s /bin/bashpasswd ttxsgoto2.初始化chroot环境mkdir /home/chrootmkdir /home/chroot/{bin,dev,lib,lib6...
linux命令useradd添加用户详解
m0_37779570的博客
12-26 9306
1.作用 useradd或adduser命令用来建立用户帐号和创建用户的起始目录,使用权限是超级用户。 2.格式 useradd [-d home] [-s shell] [-c comment] [-m [-k template]] [-f inactive] [-e expire ] [-p passwd] [-r] name 3.主要参数 -c:加上备注文字,备注文字保存在passwd的备注...
怎么使用 chroot 环境来限制用户的访问权限
最新发布
06-10
要使用 chroot 环境来限制用户的访问权限,您可以按照以下步骤进行操作: 1. 创建一个新的目录,该目录将成为 chroot 环境的根目录。例如,您可以创建一个名为 /var/chroot 的目录作为根目录。 2. 将所有必需的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值