OpenSSH sftp Jail / chrootはどのように機能しますか？

Question

他の答えは（質問のように）やや曖昧なので、その現象をより詳しく説明します。このトピックはすべての人のためではありませんが、興味のある人には知っておくと良いことです。

持つ二つこの作業はさまざまな場所で行われており、あなたchrootも作業しているので、あなたのアイデアを調整しようとしています。

持つ特権の分離、これはセキュリティメカニズムであり、部分的にはchrootネットワークサブ制限としても機能します。これは一般的に/var/empty。

理由は簡単です。抜け穴があればおそらくこのプロセスはファイルシステムを見ることができず、特に制限されているため、悪用することはできません（詳細についてはSandbox、SECCOMPキーワードを参照）。
後でchrootファイルシステム全体へのアクセスを防ぐために、SFTPだけでなくユーザーセッションも特定のディレクトリに配置できます。タイトルを見ると、この部分があなたが興味を持っているかもしれません。

これ魔法chrootのsftpの点はSubsystem sftp internal-sftp（フルパスの代わりにSubsystem sftp /usr/lib/openssh/sftp-server）指定できることです。これはバイナリではなく完全にコンパイルされたsshdことを意味します。sftp-serverexec着信電話サーバーの動作を定義する関数です。これは、ユーザーのサポートファイルを必要としませんchroot（シェルと依存共有オブジェクトを必要とする通常のセッションとは異なり）。この種の情報に興味がある場合は、ロギングソケットが必要な場合があります。

Answer 1

他の答えは（質問のように）やや曖昧なので、その現象をより詳しく説明します。このトピックはすべての人のためではありませんが、興味のある人には知っておくと良いことです。

持つ二つこの作業はさまざまな場所で行われており、あなたchrootも作業しているので、あなたのアイデアを調整しようとしています。

持つ特権の分離、これはセキュリティメカニズムであり、部分的にはchrootネットワークサブ制限としても機能します。これは一般的に/var/empty。

理由は簡単です。抜け穴があればおそらくこのプロセスはファイルシステムを見ることができず、特に制限されているため、悪用することはできません（詳細についてはSandbox、SECCOMPキーワードを参照）。
後でchrootファイルシステム全体へのアクセスを防ぐために、SFTPだけでなくユーザーセッションも特定のディレクトリに配置できます。タイトルを見ると、この部分があなたが興味を持っているかもしれません。

これ魔法chrootのsftpの点はSubsystem sftp internal-sftp（フルパスの代わりにSubsystem sftp /usr/lib/openssh/sftp-server）指定できることです。これはバイナリではなく完全にコンパイルされたsshdことを意味します。sftp-serverexec着信電話サーバーの動作を定義する関数です。これは、ユーザーのサポートファイルを必要としませんchroot（シェルと依存共有オブジェクトを必要とする通常のセッションとは異なり）。この種の情報に興味がある場合は、ロギングソケットが必要な場合があります。

おすすめ記事