使用pam_chroot限定用户ssh登录linux主机后的目录权限

最新推荐文章于 2022-08-06 20:33:23 发布
最新推荐文章于 2022-08-06 20:33:23 发布
阅读量1.8k 收藏
点赞数
分类专栏: 操作系统linux 文章标签: chroot ssh 用户 主目录 限制

问题背景:

为了加强linux服务器的安全性,要求指定的用户从ssh登录后只能在指定的目录下工作并只能运行指定的命令或脚本

解决:
修改ssh的登录验证方法
[root@localhost ~]# vi /etc/pam.d/sshd
#%PAM-1.0
auth include system-auth
account required pam_nologin.so
account include system-auth
password include system-auth
session include system-auth
session required pam_loginuid.so
session required pam_chroot.so (这是我们手动加入的一行)

设置用户目录
[root@localhost ~]# mkdir /virtual_root/chroot/lib -p
[root@localhost ~]# mkdir /virtual_root/chroot/etc -p 
[root@localhost ~]# mkdir /virtual_root/chroot/bin -p
[root@localhost ~]# mkdir /virtual_root/chroot/home/ziyang -p
(你的/etc/passwd中应该有一个名为ziyang的用户)
[root@localhost ~]# chown ziyang.ziyang /virtual_root/chroot/home/ziyang

修改chroot配置文件
[root@localhost ~]# vi /etc/security/chroot.conf
ziyang /virtual_root/chroot (手动加入此行,ziyang就只能被限定在/virtual_root/chroot目录下了。

注:是通过ssh登录的用户,对本地控制台登录的用户无效。但是可以有方法去实现)

设置用户权限和可用命令
[root@localhost ~]# cp /lib/ld-linux.so.2 /lib/libc.so.6 /lib/libdl.so.2 /lib/libtermcap.so.2 /virtual_root/chroot/lib
[root@localhost ~]# cp /bin/bash /virtual_root/chroot/bin
[root@localhost ~]# grep ziyang < /etc/passwd > /virtual_root/chroot/etc/passwd

应用测试
使用ssh从其他的主机登录你的linux服务器,你会发现ziyang这个用户登录后被限定在了/virtual_root/chroot目录下,并且没有可以使用的shell命令
halley333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何让SSH支持OTPW之一(编译篇)
weixin_38990997的博客
04-18 315
Linux ssh 采用一次性口令(OTPW)认证
pam_chroot.zip_linux pam _pam模块
09-14
linux下可插入验证模块更改用户权限目录权限的代码,很有参考价值!
linux通过pam限制ssh登录,使用pam_chroot限定用户ssh登录linux主机后的权限
weixin_34947914的博客
05-12 277
问题背景:为了加强linux服务器的安全性,要求指定的用户ssh登录后只能在指定的目录下工作并只能运行指定的命令或脚本解决:修改ssh登录验证方法[root@localhost ~]# vi /etc/pam.d/sshd#%PAM-1.0auth include system-authaccount required pam_nologin.soaccount include system-...
PAM Chroot用法
dechang007的博客
02-05 407
/etc/pam.d/common_session /etc/pam.d/common_account pam_chroot.so use_groups pam_access.so accessfile=xxx chroot应用举例 Chroot environment for SSH http://www.debian.org/doc/manuals/securing-d
普通用户root都被PAM拒绝登录的处理方法
linxizi0622的博客
11-13 3366
最近,ubuntu系统的服务器由于不知名的原因,被pam.d模块给拒绝登录了(包括普通用户root用户),登录效果如图所示 说实话对于pam.d模块是个谜,其实我也没输错密码,并且就算我输错密码,为什么会输错28次,当然现象就是我无法用普通用户的身份登录系统,当然root用户也无法登录 如果root用户能够直接登录的话,那么就可以用rootY用户登录系统,并把普通用户解禁了。 这里,我把问题归结为忘记ubuntu登录密码这一类,并采用这个线索去寻找问题的解决方案 重启服务器,不断的按shift
CentOS7修改配置文件后导致报错“ sudo:PAM account management error:Permission denied ”,su root 报错:“su:Permission”
狼来了
12-14 6122
起因 在做服务器基线检查的时候,更改配置文件 etc/pam.d/system-suth 不小心,字段写错了(就是下面这个东西!)。 保存之后悲催的发现: 使用sudo权限报错:“sudo:PAM account management error:Permission denied ” 网上查找了一些资料,说是pam.d下的文件错误更改导致的,查找了一下我的更改记录发现是system-auth文件内的字段错了。 厚着脸找网管大哥拿了 root用户密码,打算切 root 用户将文件更正回来,结果! su
pam_chroot-开源
05-03
PAM_chroot是一款开源软件,主要应用于Linux系统中,用于限制用户或进程的根目录访问权限。它的设计目的是为了提高系统的安全性,防止恶意用户或者程序通过提升权限来对系统进行非法操作。PAM(Pluggable ...
linux尝试登录失败后锁定用户账户的两种方法
09-15
主要给大家分享了linux尝试登录失败后锁定用户账户的两种方法,分别是利用pam_tally2模块和pam_faillock 模块实现,文中通过详细的示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面来一起看看吧。
Linux-PAM-1.3.0.tar.gz_PAM_linux_pam 1.3.1
09-23
通过PAM,系统管理员可以集中管理用户登录、文件访问、网络服务等各种操作的认证过程,而无需修改服务本身的代码。这种模块化的设计使得PAM能够适应不断变化的安全需求和认证协议。 在Linux-PAM-1.3.0中,我们...
pam.tar.gz_linux pam _linux-pam
09-24
例如,`login`服务的配置文件可能包含多个行,每行代表一个PAM模块的调用,如`auth required pam_unix.so`表示需要通过UNIX密码进行认证。 **3. PAM模块类型** PAM模块分为四种类型:`auth`、`account`、`session`...
ssh+chroot -- 给ssh上把锁
weixin_34055787的博客
08-13 171
ssh+chroot ,给ssh上把锁。   尽管普通用户权限不足,但是让他在系统中随便乱逛也不行,以免让他看到不该看的东西,必须将他关在“牢”里。   环境 CentOS 6.3 x64   主要用到的文件是/lib64/security/pam_chroot.so 1、让ssh使用PAM,确保配置文件sshd_config 中下面的选项生效   UsePAM yes   ...
Linux通过pam实现ssh登录
yiyu89的专栏
03-25 4169
准备工作搭建CentOS7,地址为:192.168.51.104 1.配置pam # 192.168.51.104 /etc/pam.d/sshd #%PAM-1.0 auth sufficient pam_python.so auth.py #新增内容 auth required pam_sepermit.so auth substack password-auth auth include postlogin # Used w
PAM的认证方式限制ssh登录权限
JustMeLan的专栏
07-21 1万+
1.使用到的配置文件 ・/etc/security/access_sshd.conf ・/etc/pam.d/sshd ・/etc/security/access.conf   2.如何配置 access_sshd.conf是sshd的基础配置文件,如果需要使用PAM认证的话,需要将 UsePAM yes设置   该项限制是通过pam_access.so来控制的,所以,在/e...
PAM account management error: Permission denied
weixin_39833509的博客
08-06 2703
在一台server上做sudo 操作,出现错误PAM account management error: Permission denied。其中common-account配置使用的是pam_unix2.so模块。经发现此模块对于没有密码或者lock住的用户id无法通过认证。改用pam_unix.so, 此模块支持lock用户和空密码。更改完成后,重新 sudo 命令, 可以正常使用。其引用common-account配置文件。...
/chroot环境搭建 - 定制的小型文件系统
zs15yy的专栏
11-14 4203
转自:http://4585258.blog.51cto.com/4575258/1285734/ 服务器为 RedHat5.5   root用户操作: 1. 部署目录环境 创建一个目录目录结构与实际的/目录结构类似 创建用户 useradd ppp passwd ppp 将chroot目录设置在/chroot下 mk
Linux使用pam_python实现SSH的双因子认证登录
chenglanqi6606的博客
05-09 1171
引言 Linux系统管理员(System Administrator,SA)经常碰到的问题就是放在公网的服务器经常被人猜测密码,每天都可以从系统日志里看到探测密码的信息,再加上最近很多厂商泄露了包含用户密码的数据库,撞库的行为也逐步开始转移到SSH上。 最初SA的防御手段一般是限制IP地...
Linux使用PAM锁定多次登陆失败的用户(含重置错误次数)
热门推荐
新路的专栏
05-22 5万+
修改如下文件 /etc/pam.d/sshd    (远程ssh) /etc/pam.d/login    (终端) 在第一行下即#%PAM-1.0的下面添加: auth    required    pam_tally2.so    deny=3    unlock_time=600 even_deny_root root_unlock_time=1200 各参数解释: ev
Linux 操作系统pam_tally2.so 启用SSH的合规登录失败处理方法
最新发布
03-23
可以通过修改 /etc/pam.d/sshd 文件来启用 pam_tally2.so 模块,具体操作如下: 1. 打开 /etc/pam.d/sshd 文件,添加以下两行: auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 account required pam_tally2.so 2. 保存文件并退出。 这样就可以启用 pam_tally2.so 模块来处理 SSH登录失败了。当用户登录失败次数达到 3 次时,该用户将被锁定 300 秒,直到解锁后才能再次尝试登录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值