В первую очередь, проверьте ChrootUser в/etc/ssh/sshd_config, он должен заключить в тюрьму Ваших пользователей (существует определенная версия OpenSSH, необходимого для этого).
Второй метод должен установить некоторое программное обеспечение тюрьмы. Я использую jailkit на некоторых серверах, и он дает мне все, в чем я нуждаюсь.
Третья возможность, вероятно, grsec, если это находится все еще в разработке.:-)
В отличие от других систем, где "разработчик делает доступным, используется использование людей" стратегия развертывания (Windows, я смотрю на Вас), с подобными UNIX дистрибутивами, обычно существует диспетчер пакетов и некоторая команда, управляющая ее пакетами.
Основной момент - то, так, чтобы все работало хорошо вместе. По крайней мере, когда я использовал Windows, обычная вещь состояла в том, что программа обновила бы DLLs, если бы это имело более новые версии для установки, но ничто никогда не управляло, работало ли все хорошо с новой версией библиотеки, Вы просто добавляете больше файлов к джунглям, если что-либо повреждается, это может повредиться плохо.
С управлением пакетом новые версии (или должен быть), протестированный прежде чем быть сделанным доступного, так, чтобы у Вас не было нисходящих проблем. Проблема, которую Вы можете иметь с пакетами недистрибутива, состоит в том, что они не могли быть действительно протестированы на Ваш дистрибутив или могут испытать недостаток в зависимостях или ограничениях в метаданных. Это о пакетах. Если Вы собираетесь установить от разработчика вместо того, чтобы ожидать Вашего дистрибутива для выпуска их пакета, пойдите для пакетов. Насколько Вы остаетесь с диспетчером пакетов, Вы не рискуете делать путаницу из своей системы.
Если Вы решаете скомпилировать из источников или просто распаковать tarball, думайте дважды прежде, чем сделать a make install
к /
: можно перезаписать файлы или добавить файлы, которые не отслеживает диспетчер пакетов, и это может повредить систему путем установки несовместимых файлов, путем изменения настроек способом Вы не можете отменить путем удаления пакета с помощью диспетчера пакетов и т.д. Это - также причина, почему Вы никогда не хотите использовать обеспеченный разработчиками сценарии установки (драйверы Nvidia...).
Думайте об этом как энтропия: диспетчеры пакетов действительно на самом деле отслеживают его, таким образом, это может нарушить второй закон термодинамики в случае необходимости. Когда Вы используете сторонний сценарий установки или просто make install
, Вы увеличиваете энтропию своей системы, не отслеживая его. После того как Вы сделали это, Ваш единственный шанс удостовериться, что Вы удаляете что-либо, что Вы добавили, должен восстановить резервное копирование или переустановить систему.
TL; DR:
Вы обходите тестирование уровня распределения, которое пытается поймать проблемы, характерные для программного обеспечения, распределенного в том же распределении.
Вы обходите диспетчер пакетов, возможно ведя Вашу систему к неисправимому состоянию, если что-нибудь идет не так, как надо.
В конце, как сказанный @jordanm, взвешивают за и против. Если возможно, ищите сторонние пакеты для своего диспетчера пакетов, который, по крайней мере, поможет Вам со вторым маркером выше.