目标

 利用  jaikit 环境， 能够把某个目录虚拟成为 / ,  并且把远程用户限制在该目录中活动，与真正的系统 / 环境进行隔离

利用该环境能够避免开发人员过多地访问系统资源，增加系统安全性

 

 

1.      编译jailkit-2.16.tar.gz

 ./configure && make && make install

 

2.      定义 /data作为数据存放区间, 笼环境专用分区

利用 sdb1 挂载 /data

chown root:root /data

/etc/fstab 定义自动挂载

/dev/sda1  /data   ext4  defaults  0 0

 

3.      自动建立 chroot需要文件，库文件资料

jk_init -v -j /data basicshell editors extendedshell netutils ssh  sftp scp

 

命令执行后，会发现  /data 目录下生成了 shell 环境必须的文件与目录

ls /data/ bin  dev  etc   lib  lib64  lost+found   usr

 

4.      创建用户方法

mkdir  /data/usr/sbin cp /usr/sbin/jk_lsh /data/usr/sbin/jk_lsh useradd  terry jk_jailuser -m -j /data terry

 注:  jk_jailuser 能够把系统用户切换成为笼环境受限用户

注意 /etc/passwd 中用户资料中，默认的 shell 环境发生了变化

terry:x:500:500::/data/./home/terry:/usr/sbin/jk_chrootsh

 

5.      创建chroot后的 /tmp目录

mkdir /data/tmp chmod 1777 /data/tmp cp /usr/bin/id /data/usr/bin/id

 

6.      参考笼环境下的passwd文件

/data/etc/passwd

root:x:0:0:root:/root:/bin/bash terry:x:500:500::/home/terry:/usr/sbin/jk_lsh

 

/data/etc/group

root:x:0:root terry:x:500:

 

7.   注意,当前 shell /usr/sbin/jk_lsh只允许 scp, cvs, sftp，假如需要使用 ssh登录，必须修改 /data/etc/passwd 中 shell 为/bin/bash

8.   要让用户登录， 还需要修改 "/etc/jailkit/jk_chrootsh.ini" 文件添加下面字段， 注， 每个用户都需要独立添加

[terry]
relax_home_group_permissions=1
relax_home_other_permissions=1

[mary]
relax_home_group_permissions=1
relax_home_other_permissions=1

 

9. 默认情况下， 用户登录后，只具备英文环境， 参考下面链接， 添加用户中文环境
参考

jailkit-2.16.tar.gz 笼环境增加中文环境[备忘]