Назад | Перейти на главную страницу

Достаточно ли ssh chroot для доступа к оболочке?

Я планирую предложить услугу резервного копирования с ограниченным доступом по ssh.

Лучшее решение, о котором я думал до сих пор, - это использовать chroot и разрешать доступ только к определенным командам, таким как: cd, mkdir, mv, rm, rsync, sftp и т. Д., И монтировать домашние каталоги как noexec.

Я планирую сделать это в системе centos 7.

Есть ли способ, которым злоумышленник может вырваться из системы chroot и вторгнуться в данные других пользователей или создать другие проблемы? Есть ли другие соображения безопасности?

Предлагаю вам взглянуть на непривилегированные контейнеры: https://linuxcontainers.org/lxc/getting-started/

Контейнеры обеспечивают лучшую изоляцию по сравнению с chroot jail. У него по-прежнему низкие накладные расходы. LXC использует минимальные ресурсы с точки зрения ОЗУ и места на жестком диске без накладных расходов на установку гостевой ОС на виртуальной машине.