用户ssh登陆后限制在指定目录中,linux创建只读用户

最新推荐文章于 2024-06-04 14:46:08 发布
最新推荐文章于 2024-06-04 14:46:08 发布
阅读量1.4k 收藏 5
点赞数
分类专栏: ssh linux 文章标签: linux centos shell ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ioryhm/article/details/109592022
版权
ssh 同时被 2 个专栏收录
2 篇文章 0 订阅
订阅专栏
linux
2 篇文章 0 订阅
订阅专栏

应用场景:建立只读用户,只让该用户访问特定的日志目录,则该用户登陆后只在该目录下,只能查看该目录下的一些内容,无法向上切换目录。

基本思路:建立chroot监狱,一个最基本的chroot环境至少有一个shell(例如sh,bash)和一些必要的系统设备文件(例如/dev/null,/dev/zero),如果要允许用户执行一些命令,那么还要准备相应的命令可执行文件和命令依赖的库文件。

说明:下面所用命令测试基于redhat7或centos7版本

我们现在建立一个用户rouser,并把它限定在/home/readonly目录下

1、建立用户,并修改ssh参数使用户登陆后限制在某个目录中

mkdir -p /home/readonly    #要限制用户登陆时的目录,已有的就不需要新建了。

useradd -M rouser    #建立用户,不需要建立家目录

echo "rouser" | passwd --stdin rouser    #为用户设置登陆密码

/etc/ssh/sshd_config中最后添加

    Match User rouser

    ChrootDirectory /home/readonly    #指定限制的目录

2、在给定的目录中建立chroot监狱环境,创建用户登陆必要的文件

mkdir /home/readonly/{bin,dev,lib64,etc}

mknod /home/readonly/dev/null c 1 3

mknod /home/readonly/dev/zero c 1 5

mknod /home/readonly/dev/random c 1 8

mknod /home/readonly/dev/urandom c 1 9

mknod /home/readonly/dev/tty c 5 0

chmod 0666 /home/readonly/dev/{null,zero,tty}

将/etc/passwd和/etc/group中root和rouser两行分别添加到/home/readonly//etc/passwd和/home/readonly//etc/group中

3、拷贝命令,用于给只读用户添加一些常用的命令

# 要允许执行的文件列表
cmdlist="/bin/bash /bin/ls /bin/vi /bin/vim /bin/pwd /bin/more /bin/less /bin/cat /bin/tail /bin/head"
#chroot路径
chroot_path=/home/readonly/
# 判断依赖的库文件
lib_1=`ldd $cmdlist | awk '{ print $1 }' | grep "/lib" | sort | uniq`
lib_2=`ldd $cmdlist | awk '{ print $3 }' | grep "/lib" | sort | uniq`
#复制命令文件
for i in $cmdlist
do
  cp -a $i $chroot_path/bin/ && echo "$i done"
done

#复制依赖的库文件(如果是i386,是lib,是x86_64,则是lib64,)
for j in $lib_1
do
  cp -f $j $chroot_path/lib64/ && echo "$j done"
done

for k in $lib_2
do
  cp -f $k $chroot_path/lib64/ && echo "$k done"
done

4、设置环境变量和selinux上下文

cp /etc/bashrc /home/readonly/etc/
echo 'export PATH=$PATH:/bin' >> /home/readonly/etc/profile
## 升级openssh版本并开启selinx的话,需要更改以下几项,否则会出现用户无法登陆的情况。
chcon -R -t bin_t /home/readonly/bin
chcon -R -t lib_t /home/readonly/lib64
chcon -R -t etc_t /home/readonly/etc
chcon -R -t device_t /home/readonly/dev
chcon -R -t tty_device_t /home/readonly/dev/*

按照惯例一键部署脚本已配置好,有需要点下面链接进行下载

https://download.csdn.net/download/ioryhm/13101523

 

 

ioryhm
关注
专栏目录
Linux创建用户只能访问某个目录
02-19 9230
Linux创建用户只能访问某个目录一:需求:创建一个用户,让他只能访问某个目录1.1 方案1 用 setfacl 实现:1.2 方案2 创建ftp用户只能访问/test目录限制ftp用户越狱)1.3 方案3 添加sftp用户只能访问/usr/local/sftp目录 一:需求:创建一个用户,让他只能访问某个目录 useradd getfile mkdir -p /home/weblogic/Or...
限制ssh用户只能用于SFTP登录且只能访问指定目录, 只读权限。指定用户可写入...
weixin_34129145的博客
03-13 2889
2019独角兽企业重金招聘Python工程师标准>>> ...
如何限定Linux操作系统某个用户的活动目录ssh用户监牢)
满天点点星辰的博客
05-29 404
如何限定Linux操作系统某个用户的活动目录ssh用户监牢)
linux里面怎么设置用户只能看某个目录下的文
05-23
linux里面怎么设置用户只能看某个目录下的文
linux ssh禁止用户访问任何目录,SSH限制普通用户到家目录
weixin_36184985的博客
04-30 704
在这个例子,建立了一个"迷你监狱"用来测试一个只有 ls 命令的 Bash shell。首先用 mkdir 命令设定好 abc "监狱" 路径。1.创建用户abcuseradd abcpasswd abc2.用root用户建立目录 :mkdir -p /chroot/{etc,dev,proc,lib,bin,lib64,home,usr}mkdir -p /chroot/usr/binmkdi...
linux 限制用户访问指定目录
xufei_0425的博客
06-19 1万+
1,添加用户 useradd -d /var/www user1 passwd user1 #设置密码 2,修改sshd_config,使用 chroot 监狱限制 SSH 用户访问指定目录 vim /etc/ssh/sshd_config #文件最后添加如下代码 Match User user1 ChrootDirectory /var/www X11Forwarding no A...
配置ssh用户只访问特定目录
热门推荐
jason的博客
06-22 1万+
公司需要对指定用户进行限制,只允许访问指定目录,网上翻了一大堆一直有问题,经过最后研究,其实只是一个小细节配置有问题; 具体流程如下: 1、创建用户:useradd -d directory  username 2、修改密码:passwd username 3、配置sshd_config Subsystem      sftp    internal-sftp Match User s
linux限制用户只允许访问某个目录
最新发布
zd1320732的专栏
06-04 514
【代码】linux限制用户只允许访问某个目录
python 创建文件夹指定权限_Linux创建用户并赋给指定文件权限
weixin_39968490的博客
12-04 914
工作用到了,写篇日志总结一下。创建新的用户:第一种方式:创建用户: adduser name创建密码: passwd name(回车后出现修改密码的提示)该方式创建用户目录默认在home下。第二种方式:useradd -d /usr/disp -m passwd该方法可以在创建用户时制定该用户的根路径和密码。通过这种方式创建用户可以使用ssh登录,但只有只读权限可以浏览下载部分文件无法写和修...
linux用户权限管理
runqu的博客
03-21 686
linux下可以对文件/目录等进行权限,属主,属组进行管理。来确保文件,目录的安全性。
搭建sftp,并限制账号访问目录
weixin_42841838的博客
05-26 712
创建一个专门的用户组和用户 #创建sftp组 groupadd sftp cat /etc/group |grep sftp cat /etc/passwd |grep sftp #创建一个sftp用户用户名为user useradd -g sftp -s /bin/false user #/bin/false使其没有登陆的权限,也无返回信息 #修改密码 passwd user XXXXXX 2.指定目录 #sftp组的用户的home目录指定到/ftpuser/DataUser/data_gatewa.
ssh用户访问特定目录
qq_38961339的博客
12-04 1481
配置ssh用户只访问特定目录 1,添加用户 添加用户组 # groupadd groupname 添加用户 # useradd username -m -s /bin/bash -d /home/username -g groupname 参数说明: -s /sbin/nologin设置不能登陆-s /bin/false(老方法) 也行 -d 设置用户目录 -g 用户组 -m 创建用户目录 2、修改密码:passwd username 3、配置sshd_config Subsystem sf
Linux 权限设置 用户只能访问指定目录
a805727141的博客
07-05 5433
创建用户,让他登入就进入到该目录。将权限设置其他组不可读写。
linux限定用户只能访问默认目录,linux 限制用户访问指定目录
weixin_39688636的博客
04-29 2750
1,添加用户useradd -d /var/www user1passwd user1 #设置密码2,修改sshd_config,使用 chroot 监狱限制 SSH 用户访问指定目录vim /etc/ssh/sshd_config#文件最后添加如下代码Match User user1ChrootDirectory /var/wwwX11Forwarding noAllowTcpForwardi...
linux 账号只允许访问特定目录,Linux 控制普通用户ftp 只访问本用户的 家目录
weixin_39793434的博客
04-29 1060
创建用户:#adduser -d /data/home/website1 -g www website1//创建用户#passwd website1//设置密码#Changing password for user usertest.#New UNIX password:#Retype new UNIX password:#passwd: all authentication tokens upd...
linux(ubuntu)实现创建一个用户,他只能操作指定目录
weixin_59244784的博客
01-05 859
linux(ubuntu)实现创建一个用户,他只能操作指定目录
限制SSH远程登录用户仅能只读访问Linux指定目录
weixin_30505225的博客
05-05 1285
资料参考:http://os.51cto.com/art/201703/534895.htm 背景需求: 在TOMCAT服务器上建立一个普通帐号log_user,只能查看TOMCAT日志,不能删改任何文件,不能执行fdisk、df、dd、mkdir、yum等命令,不能访问日志目录以外的路径。 系统:centos6.6 tomcat安装路径:/opt/apache-tomcat ...
linux限制用户只能在家目录,限制用户在特定目录(监狱)
weixin_39644750的博客
04-28 2010
root用户执行以下操作。一、 使用 mkdir 命令开始创建 chroot 监狱(给某用户分配的目录):a).mkdir-p/home/test二.交互式会话,需要至少一个 shell,通常为 sh 和基本的 /dev 节点。如 null、zero、stdin、stdout、stderr 和 tty 设备:a).ls-l/dev/{null,zero,stdin,stdout,stde...
添加linux系统只读用户
weixin_40143280的博客
12-18 2480
方法1: 创建用户:useradd readonly 删除用户:userdel readonly 修改密码:passwd readonly Bgen!123 添加用户对文件的只读r权限: setfacl -m u:readonly:r /apps 删除用户对文件的权限 setfacl -x user:readonly /apps 添加文件查看权限: getfacl /apps 这个方法操作时报错,根据查询网上相关资料,发现以下解释,下面为借鉴截图 因为操作的为线上正式环境,所以此标红步骤风险较大,所以方
Linux限制ssh登录用户
07-08
Linux,您可以使用以下方法限制SSH登录用户: 1. 使用`/etc/ssh/sshd_config`文件:编辑SSH服务器的配置文件`sshd_config`,通常位于`/etc/ssh/`目录下。找到并修改以下行: - `AllowUsers`:在该行后添加要允许登录的用户名列表,仅这些用户将被允许登录。例如: ``` AllowUsers john jane ``` - `DenyUsers`:在该行后添加要拒绝登录的用户名列表,这些用户将被禁止登录。例如: ``` DenyUsers test ``` - `AllowGroups`:在该行后添加要允许登录的用户组列表,仅属于这些用户组的用户将被允许登录。例如: ``` AllowGroups sshusers ``` - `DenyGroups`:在该行后添加要拒绝登录的用户组列表,属于这些用户组的用户将被禁止登录。例如: ``` DenyGroups ftpusers ``` 保存文件并重新启动SSH服务以使更改生效。 2. 使用`/etc/hosts.allow`和`/etc/hosts.deny`文件:您可以使用这两个文件来限制SSH登录。编辑`/etc/hosts.allow`文件,添加以下行: ``` sshd: <允许登录的IP地址或IP地址范围> ``` 编辑`/etc/hosts.deny`文件,添加以下行: ``` sshd: ALL ``` 这将拒绝除了在`hosts.allow`文件指定的IP地址之外的所有SSH连接。 3. 使用防火墙:配置防火墙以仅允许特定IP地址或IP地址范围进行SSH连接。您可以使用iptables命令(如`iptables -A INPUT -p tcp --dport 22 -s <允许登录的IP地址> -j ACCEPT`)或其他防火墙工具来实现。 请注意,在进行任何更改之前,请确保您具有足够的权限,并备份相关文件以防止意外错误。另外,确保不要将自己锁定在系统外部,以免无法远程登录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值