chroot刑務所、刑務所シェル、またはそれらの組み合わせを使用する方が安全ですか?
私の友人は、xandrosベースのAcerネットブックを持っていて、彼女が世界中を旅行している間、リモート管理と私からの助けを求めています。
私は彼女のネットブックにsshするためのアカウントを設定し、彼女のネットブックから私のサーバーにリバースsshトンネルするスクリプトを設定しました-これにより、ファイアウォールなどの問題を回避できます。さまざまなホステルやホテル。彼女が私のサーバーにSSH接続したら、私は彼女のネットブックにSSH接続できます。
彼女が私のサーバーにSSHで接続したときにシェルとして実行されるbashスクリプトがあります。これにより、「お待ちください」のような画面が表示されます。唯一のオプションは、スクリプトを終了して起動することです。サーバーから。
私がサーバー上で彼女のために作成したユーザーは低権限ですが、彼女が私のサーバーにsshアクセスできることを意味するエクスプロイトが必ず発生します。
Chroot jailの使用も検討しているので、彼女が脱出した場合、彼女は自分のホームディレクトリにしかアクセスできません。
これは良い考えですか。サーバーを安全に保ちながら、ネットブックにリモートでアクセスできるようにするために見逃した可能性のある他のセキュリティのヒントはありますか?
明確にするために、彼女が刑務所やchrootから脱出しようとは思わないが、万が一に備えてこれを防ぐ方法を知りたい。
更新:
そして、ユーザーとハードウェアの間に配置できるネットブックやその他のレイヤーにアクセスする方法について、他に何か提案はありますか?
通常、ルールによってファイアウォールによってフィルタリングされないポートにVNCまたは別のリモートコントロールアプリをセットアップすることを検討しましたか?
この設定例では、VNC(または他の同様のアプリ)がノートブックにロードされます。次に、ノートブック側のスクリプトを実行して、ファイアウォールによってフィルタリングされない特定のポートでサーバーにアクセスし、システムへのリターンパスを確立します。 443はおそらくこれに使用するのに最適なポートですが、他のポートも適しています。次に、システムからVNCに直接接続するか、サーバー上のポートを別のポート番号に複製し、ローカルポートのインターフェイスに接続するだけで、ポートリダイレクトがリモートエンドの他のシステムへのアクセスを処理します。
お役に立てれば。
私が考えている今、この動物の皮を剥ぐもう1つの方法は、VNCを使用する代わりに、SSHトンネル内でxセッショントラフィックをトンネリングすることです。現在の設定では、すでに途中です。
特定のポートでそのマシンのローカルにX機能を設定し、そのポートをトンネル経由で自分自身に転送してから、サーバーのローカルポートのセッションに接続できるように、自分の側のポートに複製します。
私が見つけたもう1つのことは、この種のことには完全に便利です。ダイナミックDNSです。これにより、必要が生じたときにいつでもクエリできる解決可能なFQDNを設定できます。 DyDnsは、インストールされているシステム上で軽量サービスとして実行され、IPアドレス情報が変更されるたびにレコードを更新します。
Chroot jailは役に立ちますが、誰かをシェルに入れるエクスプロイトを使用すると、プロセステーブルなどを確認し、プログラムを実行することができます。 本当に外部ユーザーの隔離に積極的に取り組みたい場合は、アリに榴弾砲を使用するようなものですが、sshトンネルメカニズム全体に仮想プライベートサーバーを設定することもできます。次に、彼らができる最悪の事態は、VPSをゴミ箱に捨てて、VPSから抜け出す能力を排除することです。これは、かなり高いバーです。
私はコンピュータシステムのセキュリティ保護に関しては良い 多層防御 戦略のファンなので、chrootされたファイルシステムで低特権アカウントを使用することをお勧めします。それでも保証はありません。 、iPhoneを見るだけで、これらの両方が実行されますが、それでも役に立ちません。