क्या चेरोट जेल, जेल खोल या संयोजन का उपयोग करना सुरक्षित है?

मेरे एक मित्र के पास एक एक्सनड्रॉस-आधारित एसर नेटबुक है, और वह दुनिया भर की यात्रा करते समय कुछ दूरस्थ प्रशासन प्राप्त करने और मुझसे मदद लेने के लिए देख रहा है।
मैंने उसके लिए मेरे नेटबुक पर एक खाता स्थापित किया है, और उसकी स्क्रिप्ट को अपने नेटबुक से अपने सर्वर पर रिवर्स-एसश-टनल तक सेट किया है - इससे मुझे विभिन्न हॉस्टल और होटलों में फायरवॉल आदि के साथ समस्याओं के बारे में पता चलता है। एक बार जब उसने मेरे सर्वर में ssh'ed कर दिया, तो मैं उसे नेटबुक के साथ ssh कर सकता हूं।

मुझे एक बैश स्क्रिप्ट मिली है जो उसके शेल के रूप में चलाई जाती है जब वह मेरे सर्वर में ssh'es होती है, जो उसे केवल स्क्रीन की तरह 'कृपया प्रतीक्षा करें' देती है, और स्क्रिप्ट से बाहर निकलने का एकमात्र विकल्प है, और इसलिए बूट हो जाएं सर्वर से।

मैंने अपने सर्वर पर उसके लिए जो उपयोगकर्ता बनाया है वह कम अधिकार है, लेकिन कुछ शोषण के लिए बाध्य है, जिसका अर्थ है कि वह मेरे सर्वर तक पहुंच प्राप्त करेगा।

मैं चेरोट जेल का उपयोग करने पर भी विचार कर रहा हूं, इसलिए यदि वह बच जाती है तो वह केवल अपने घर की निर्देशिका तक ही पहुंच सकती है।
क्या यह एक अच्छा विचार है, और क्या कोई अन्य सुरक्षा युक्तियां हैं जो मैं अपने सर्वर को सुरक्षित रखने के लिए याद कर सकता हूं, जबकि अभी भी मुझे उसकी नेटबुक को दूरस्थ रूप से एक्सेस करने की अनुमति है?

स्पष्ट करने के लिए, मुझे नहीं लगता कि वह जेल से भागने की कोशिश करेगी, या चूरू, लेकिन मैं जानना चाहूंगी कि मैं इसे कैसे रोक सकती थी।

अपडेट:
और क्या आपके पास कोई अन्य सुझाव है कि मैं उपयोगकर्ता और मेरे हार्डवेयर के बीच नेटबुक या अन्य परतों तक कैसे पहुंच सकता हूं?

क्या आपने वीएनसी या किसी अन्य रिमोट कंट्रोल ऐप को एक ऐसे पोर्ट पर स्थापित करने पर विचार किया है जो आमतौर पर नियमों द्वारा फ़ायरवॉल द्वारा फ़िल्टर नहीं किया जाता है?

इसका एक उदाहरण विन्यास नोटबुक पर लोड VNC (या अन्य समान ऐप) होगा। फिर आपकी नोटबुक साइड स्क्रिप्ट एक विशिष्ट पोर्ट पर आपके सर्वर तक पहुंचने के लिए चल रही है जो सिस्टम में आपके रिटर्न पथ को स्थापित करने के लिए फ़ायरवॉल द्वारा फ़िल्टर नहीं की जाएगी। 443 संभवतः इसके लिए उपयोग करने के लिए सबसे अच्छा बंदरगाह है लेकिन अन्य भी उपयुक्त हैं। तब आपके सिस्टम से आप बस VNC से सीधे कनेक्ट होते हैं या अपने सर्वर पर किसी पोर्ट को दूसरे पोर्ट नंबर से दोहराते हैं और बस लोकल पोर्ट पर इंटरफेस से कनेक्ट होते हैं और पोर्ट रिडायरेक्शन आपको रिमोट सिस्टम पर दूसरे सिस्टम पर पहुंचने में मदद करेगा।

उम्मीद है की यह मदद करेगा।

चेरोट जेल में मदद करेगा, लेकिन एक शोषण के साथ जो किसी को एक शेल में जाने देता है, वे अभी भी प्रक्रिया तालिका और ऐसे देख सकते हैं, और प्रोग्राम चला सकते हैं, और संभवतः आगे के कारनामे भी। यदि आप बाहरी उपयोगकर्ता को अलग करने के बारे में वास्तव में आक्रामक होना चाहते हैं , तो यह चींटी पर एक हॉवित्जर का उपयोग करने की तरह है, लेकिन आप पूरे ssh सुरंग तंत्र के लिए एक आभासी निजी सर्वर सेट कर सकते हैं। तब वे सबसे खराब कर सकते हैं VPS कचरा, एक से बाहर तोड़ने की क्षमता को छोड़कर, जो एक उच्च बार है।

जब मैं कंप्यूटर सिस्टम को सुरक्षित करने की बात करता हूं, तो मैं गहराई की रणनीति में एक अच्छे बचाव का प्रशंसक हूं, इसलिए मैं सुझाव दूंगा कि आप किसी कम्यूटेड फ़ाइल सिस्टम में कम विशेषाधिकार वाले खाते का उपयोग करें, और तब भी इसकी कोई गारंटी नहीं है, बस आईफोन देखें, यह इन दोनों चीजों को करता है और यह अभी भी मदद नहीं करता है।

इस जानवर को अब त्वचा देने का एक और तरीका है कि मैं इसके बारे में सोच रहा हूं कि SSH सुरंग के अंदर x सत्र ट्रैफिक को सुरंग के लिए एक विकल्प के रूप में उपयोग करना है। आप अपने वर्तमान सेटअप के साथ पहले से ही आधे रास्ते में हैं।

उस मशीन पर स्थानीय रूप से एक विशिष्ट पोर्ट पर एक्स की क्षमता सेट करें, फिर उस पोर्ट को सुरंग के माध्यम से अपने आप को अग्रेषित करें और फिर इसे अपनी तरफ एक पोर्ट पर दोहराएं ताकि आप अपने सर्वर पर स्थानीय पोर्ट पर सत्र से कनेक्ट कर सकें।

एक और चीज़ मुझे मिली है जो इस तरह की चीज़ के लिए पूरी तरह से काम करती है वह है गतिशील डीएनएस। यह आपको एक resolvable FQDN सेट करने की अनुमति देगा, जिसे आप आवश्यकता पड़ने पर क्वेरी कर सकते हैं। DyDns आपके द्वारा इंस्टॉल किए गए सिस्टम पर एक हल्की सेवा के रूप में चलता है और यह किसी भी समय आईपी पते की जानकारी में परिवर्तन को रिकॉर्ड को अपडेट करता है।