巧克力工厂

这篇文章主要是为自己留个笔记，顺便为受设置 chroot 困扰的同学作个 note，因此就不从头说起了。总之不知道什么是 chroot 的同学和不知道为什么要 chroot 的同学如果对此有兴趣，可以自己找找资料。

一直想给自己的 VPS 弄个 jailed shell，但找到的教程都相当的繁杂，虽然可以理解──相当于另建一个 Shell 环境──但无论如何确实很麻烦。一大堆的文件要拷贝，更大一堆的设置要调整，想想都头大，所以一直没有下手。偶然发现了 jailkit 这个实用工具集后，发现建立一个 jailed shell 是如此的容易。

Jailkit 可以把建立 chroot 环境完全自动化，除了可以轻松的建立 jailed shell 外，还可以建立 jailed mail 或是任意的 jailed 的环境，总之 you name it。

下面以建立一个有最基本命令的 jailed shell 为例说明，下载编译安装就不详细写了，一切按照 routine 来，以下命令全以 root 身份运行：

1、首先我建立一个目录 jail，在此目录下建立 jailed 环境，里面的用户将会受到限制（比如说无法离开该目录）。

mkdir /home/jail

2、然后初始化该目录：

jk_init -v -j /home/jail basicshell editors extendedshell netutils ssh sftp scp

加下划线的部分是预告设定好的，拿 sftp 为例，你可以在 /etc/jailkit/jk_init.ini 中找到相应的部分，大概的样子如下：
[sftp]
comment = ssh secure ftp with Jailkit limited shell
executables = /usr/lib/sftp-server
includesections = netbasics, uidbasics

devices = /dev/urandom, /dev/null
emptydirs = /svr

里面列举了建立一个能够 sftp 环境需要的设置，我们照猫画虎也可以设置一下自己需要的环境。

3、建立一个需要被 jailed 的用户，比如说 lemoned :P，为了好区分，我们可以为所以需要被 jailed 的用户单独划出一个组，名字为 pals （举例），命令如下：

groupadd pals
useradd -g pals -m lemoned
passwd lemoned

4、限制该用户

jk_jailuser -m -j /home/jail lemoned

这一步做完后，/etc/passwd 里面对应 lemoned 的那一行应该类似如下：

lemoned:x:1016:1016::/home/jail/./home/lemoned:/usr/sbin/jk_chrootsh

并且把 /etc/jail/home/etc/passwd 中的相应用户所在的行改成如下形式：

lemoned:x:1016:1016::/home/sharon:/bin/bash

然后，就没有然后了。就是这么简单。有了这个 jailed shell 后，我建议你关闭 ftp 让所有的用户都用 sftp 登陆，安全第一，安全第一。