問題タブ [jail]

複数の FreeBSD6.1 マシンで jail を実行している環境を継承しました。

ローカルネットワークで IP が枯渇するため、ジェイルを変更して、物理ネットワーク上に 1 つのルーティング可能な IP があり、ジェイル間に別のルーティング不可能な仮想ネットワークがあるようにしたいと考えています。

これは実際に達成可能ですか？これまでの私の調査によると、jail にはホスト上のネットワーク インターフェイスにバインドされた独自のアドレスがあります。仮想ネットワーク インターフェイスに関する情報を見つけることができませんでした。

ジェイルへのすべてのアクセスはホスト上の SSH (またはホスト経由の netcat/ssh プロキシ) を介して行われるため、ジェイルの IP アドレスに ARP トラフィックがないことを確認したいと考えています。

これを実装するためのガイダンスは大歓迎です。

基本的に、私が達成したいことは、私が決定した基準に基づいてプログラムが要求する値を与える環境でプログラムを実行することです。たとえば、ゲームはアニメーションを実行するために定期的にシステムに時間を問い合わせますが、プログラムに渡される時間の値を制御できれば、アニメーションの速度を制御できます (おそらくいくつかの難しいラウンドを簡単にクリアできます)。 :P).

同様の理由で、キーストロークで、マウスの動きも制御できます (私は Java の Robot クラスを試しましたが、満足できるものではありませんでした: システムが遅くなります {またはおそらく私の実装が悪かった}、コマンドは現在フォーカスされているプログラムで実行され、具体的にターゲティングする）。

それを行う優雅な方法またはそれを達成するためのいくつかの指針は高く評価されます。

ユーザーが任意のPHPを実行して結果を取得できるJavaIRCアプリケーションがあります。これが使用される目的の一例を次に示します。

Pythonのセットアップもありますが、PHPはコード内のどこにも改行を必要としないため、PHPが好きです。（これはIRCであるため、Webでロードされた.pyファイルを実行しない限り改行を与えることはできません）

問題は、次のように、人々がシステムを悪用しようとするのを防ぐ方法です。

これは、明らかに、すべての人が見ることができるようにpasswdファイルを読み取ります。
readfile（）をブロックしようとした後も、この問題が発生しています。

このシステムをどのように保護すればよいでしょうか。（完全なコードはgithubにあり、興味のある人はhttps://github.com/clone1018/Shocky）

余談ですが、すべてがVMにあるため、実際の機密情報は公開されていません。したがって、これは「時限爆弾」などではありません。ただし、それでもロックダウンしたいと思います。

FreeBSD 刑務所にデプロイするには、コマンドを次のようにする必要があります。

技術的には可能ですが、jail で SSH を直接アクティブ化することは避けたいことに注意してください。

では、どうすればカピストラーノをこのように動作させることができますか?

(私は主に、デフォルトの上限タスクの修正に関して質問していることに注意してください。)

環境：

Lua では、新しい Lua VM を作成するのは簡単で非常に安価 (4kb のメモリ) です。したがって、安価な lua の「jail」を作成するのは簡単です。次に、信頼できないコードが正しく動作しない場合は、Lua VM を強制終了します。

私はhttps://github.com/Licenser/clj-sandboxを認識していますが、Javaをラップしているように見えます...これにより、信頼できないコードスレッドがネイティブJavaスレッドになり、殺すことができなくなります。

質問：

安価で軽量な Clojure 刑務所を作成する方法はありますか?

機能を簡単に拡張できるように、「プラグイン」を実行できる Python ベースの Web サーバーを作成しています。

このために、いくつかのフォルダー (プラグインごとに 1 つ) と、発生する可能性のあるさまざまなイベントの定義済みの名前にちなんで名付けられた多数のシェル/Python スクリプトを用意するアプローチを検討しました。

1 つの例としてon_pdf_uploaded.py、PDF がサーバーにアップロードされたときに実行されるファイルがあります。これを行うには、Python のサブプロセスツールを使用します。

利便性とセキュリティのために、Unix 環境変数を使用して詳細情報を提供し、プロセスの作業ディレクトリ (cwd) を設定して、場所を見つけなくても適切なファイルにアクセスできるようにします。

プラグイン コードは信頼できないソースからのものであるため、できるだけ安全にしたいと考えています。私のアイデアは、サブプロセスでコードを実行することでしたが、サーバー上の他のリソースにアクセスできないように、別のユーザーで chroot 監獄に入れました。

残念ながら、これについては何も見つけることができませんでした。また、信頼できないスクリプトに依存して自分自身を刑務所に入れたくありません。

さらに、サーバーが他のリクエストに応答している間にプラグインコードが複数のプロセスで同時に実行される可能性があるため、メイン/呼び出しプロセスをchroot監獄に入れることもできません。

そこで質問があります: chroot 刑務所でサブプロセス/スクリプトを最小限の権限で実行して、サーバーの残りの部分が欠陥のある信頼できないコードによって損傷を受けるのを防ぐにはどうすればよいでしょうか?

ありがとうございました！

chroot でいくつかの Python プログラムを実行しようとすると、次のエラーが表示されます

ldd を使用して、Python ランタイムが依存するライブラリを見つけ、刑務所内にコピーしました。それを手伝ってくれませんか？

ありがとうございました

FreeBSDjailでPostgreSQLデータベースを初期化すると問題が発生します。

問題についての記事を見つけました。私はそのアドバイスを試しましたが、運がなかったので、理由がわかりません。リンクがあります：刑務所内のPostgreSQL。

カーネルリソースに関するPostgreSQLのドキュメントも読みました。

を有効にしてFreeBSDjailで実行している場合sysctl、 security.jail.sysvipc_allowed異なるjailで実行されているポストマスターは、異なるオペレーティングシステムユーザーによって実行される必要があります。これにより、root以外のユーザーが異なるjail内の共有メモリやセマフォに干渉するのを防ぎ、PostgreSQLIPCクリーンアップコードが正しく機能するようになるため、セキュリティが向上します。（FreeBSD 6.0以降では、IPCクリーンアップコードは他の刑務所のプロセスを適切に検出しないため、異なる刑務所の同じポートでポストマスターを実行できません。）

私がしたこと：

• /etc/rc.conf（ホストマシン上で）編集し、行を追加しましたjail_sysvipc_allow="YES"
• 刑務所のマシンで/etc/sysctl.conf、私は行を追加しますsecurity.jail.sysvipc_allowed=1

刑務所のマシンを何度も再起動しました。ホストマシンを再起動していないので、再起動したくありません。

誰かが私に解決策やアドバイスをくれることを願っています。本当にありがとう。

これは、刑務所を再開したときのメッセージです。

または、sysctlを手動で実行する場合:( jailで）

Freebsdバージョン：FreeBSD xxxxxxx 9.1-PRERELEASE FreeBSD 9.1-PRERELEASE

postgreSQLバージョン：postgresql-server-9.1.4

エラーメッセージ：

アップデート：

ホストマシンでは、/ etc / sysctl.conf：security.jail.sysvipc_allowed = 1 /etc/rc.conf：jail_sysvipc_allow = "YES"

Jailサーバーでは、追加のjail_sysvipc構成はありません。

ホストマシンのsysctl値：

以前と同じエラーメッセージが表示されます。

さらに、security.jail.param.allow.sysvipcに何かあるのだろうか？なぜなら、ホストマシンでは設定できなかったからです。（security.jail.param.allow.sysvipc 0-> 0）

スクリプトmake_chroot_jail.shを使用してchroot監獄を作成し、/usr/bin/git*、これらのバイナリに必要なすべてのライブラリ、および/usr/share/git-coreをコピーしてgitを追加し、init、clone commit、pushなどを実行できるようになりましたしかし、私が git log と入力しても何も出力されません (誰かが私を助けてくれたり、どこを探すべきか教えてくれませんか?

ここで助けていただければ幸いです。

Ubuntu 12.04 ボックスにルート刑務所を設定しようとしていて、Jailkit 2.15 を使用しています。http://www.marthijnvandenheuvel.com/2010/03/10/how-to-create-a-chroot-ssh-user-in-ubuntu/ガイドを使用して、これを成功させました。

ただし、ユーザーが svn コマンドを使用できるようにしたいと考えています。以下を /etc/jailkit/jk_i​​nit.ini に追加しました

しかし、ルート化されたアカウント内で SVN を使用しようとすると、常に次のようになります。

ご想像のとおり、SVN リポジトリは同じマシンに保持されており、通常の bash ユーザーで svn checkout コマンドが機能することを確認しました。Subversion が使用する htpasswd ファイル (/etc/subversion/passwd) も再確認しましたが、これにはユーザー名:string-pattern が含まれています。それで大丈夫そうです。

ロケールの問題を調べてみると、ここで何が起こっているのか、それが問題なのかわかりませんが、常識的には、通常は最初のエラーが原因であると言われています。投獄されたアカウント内の locale -a は私に与えました:

通常のアカウント内では、次のようになります。

jk_init.ini で次のことに気付きました。

/usr/lib/locale を見ると、次のものがあります。

これが問題でしょうか、それともここでいくつかの問題が発生していますか?

乾杯