创建chroot环境,限制ssh/sftp的使用

最新推荐文章于 2022-04-17 13:07:46 发布
最新推荐文章于 2022-04-17 13:07:46 发布
阅读量259 收藏
点赞数
分类专栏: linux 文章标签: SSH Linux 脚本 Unix HTML
chroot是一个大范围限制登录用户的利器,基本上让登录用户访问不到真实的系统。

但是很难配,无论是网上流行的脚本,还是说明,都有很多缺陷,要命的在于很少有提示信息。

先建立一个/home/chroot目录,这个名字是任意的。

openssh 4.8p1以下应该是不支持chroot,但可以用rssh来支持chroot,非常好用,但难度还是在chroot环境上。

安装rssh,可以用rpm或源码编译,问题都不大,很好配,如果是rpm安装,缺省配置在/etc/rssh.conf

这个配置很容易,配好chrootpath就行,再放开scp/sftp权限。

重要的是chroot的配置

rssh自带一个脚本 mkchroot.sh,可以方便地产生一个chroot环境,但注意,这个环境是不完整的。

1./etc/passwd要精简后放入。/etc/group也一样
2. /lib64/libnss_files.so.2 ,这个文件并没有放入,不知道为什么,但也有可能是 /lib64/libnss_* ,最好全拷入。
3. 创建 /dev/null , mknod -m 666 /home/chroot/dev/null c 1 3 ,如果有就删除重建一下。有些需要,有些不需要
4. 配置syslog, 加参数 "-a /home/chroot/dev/log" , /etc/sysconfig/syslog ,重起syslog服务,就会自动创建/home/chroot/dev/log。
5.修改/etc/passwd,指向rssh和home目录:home目录的格式上有特殊的写法,要写//来区分,前面是chroot目录,后面则是缺省的自己home目录
staging-emailmeform:x:504:504::/home/chroot//home/emf2:/usr/bin/rssh

要注意一些日志,有时候会出现信息。
/var/log/messages
/var/log/secure

无缘无故出现Connection closed或no user found之类的错,就是chroot环境不对,肯定是少lib,或是/etc/passwd不对

最后就配置出一个只能用于sftp/scp的用户,并且只能访问自己的目录。

参考:
rssh主页 [url]http://www.pizzashack.org/rssh/[/url]
rpm包 [url]http://dag.wieers.com/rpm/packages/rssh/[/url]
配置 [url]http://www.cyberciti.biz/tips/howto-linux-unix-rssh-chroot-jail-setup.html[/url]
疑难解决 [url]http://www.gentoo-wiki.info/SFTP_Server[/url]
iteye_3062
关注
专栏目录
linux制作chroot环境,/chroot环境搭建 - 定制的小型文件系统
weixin_39888412的博客
05-12 660
服务器为RedHat5.5root用户操作:1.部署目录环境创建一个目录,目录结构与实际的/目录结构类似创建用户useradd ppppasswd ppp将chroot目录设置在/chroot下mkdir -p /chroot/{etc,dev,proc,lib,bin,home,usr}mkdir -p /chroot/usr/{bin,lib,libexec}mkdir -p /chroot/...
scp指定服务器不可用,限制SCP/SFTP用户在指定的目录
weixin_33207144的博客
07-31 1078
我们知道,使用SSH协议可以实现UNIX服务器安全的远程登录管理,也可以使用SSH协议进行安全的SCPSFTP的文件传输。但默认情况下,能够SCPSFTP的帐号都能够远程登录服务器,由于有时候仅使用SCPSFTP给一些编辑人员上传文件而并不需要他们远程登录,这给服务器的管理会带来隐患。如何在使用SCP/SFTP进行文件的时候,将用户限定的指定的目录呢?(这实现是我们所说的CHROOT功能)。...
利用openssh实现chroot监牢
系统运维
10-09 171
我们不想让SSH 登陆的用户随意浏览我系统的文件,只给他固定在指定地方活动。 环境:Red Hat Enterprise Linux Server release 6.2 openssh 需要4.7p 以上版本 建立一个允许ssh的登陆用户 [root@localhost ~]# useradd gao 更改用户的密码 [root@localhost ~]# passwd gao C...
Linux守护进程详解,ftp用户组管理,ssh服务详解,centos7中实现chroot限制sshsftp至指定目录
清凌的博客
12-09 954
ftp相关的内容: Linux守护进程详解(init.d和xinetd) https://www.cnblogs.com/alantu2018/p/8462557.html ftp用户组管理: linux下查看所有用户及所有用户组 https://www.cnblogs.com/jackyyou/p/5498083.html 关于ssh的一些安全权限设置等等,写得非常详细 ssh服务详解 http...
Linux 中 怎么对 FTP 中的虚拟用户进行 chroot 欺骗根操作呢?
qq_45437573的博客
10-01 187
Linux 中 怎么对 FTP 中的虚拟用户进行 chroot 欺骗根操作呢? 本地用户欺骗根我试了,配置文件里的 chroot_local_user=YES 这行已及下边的 注解打开我试了,不行。 ...
登录ssh进行chroot的操作
zws0932的专栏
10-23 673
1。建立chroot后的目录 mkdir -p /vm/chroot/{bin,home,lib64} 2. 把登录用户的目录拷贝到/vm/chroot/home下面 cp -r /home/supertool /vm/chroot/home 3.把要给用户执行的命令及相应的库拷贝到bin,lib64下面,脚本如下: #!/bin/bash #bin.
linux SFTP 环境的搭建测试
daxian_am461的博客
11-05 1525
在某些环境中,系统管理员想要允许极少数用户在可以传输文件到Linux机器中,但是不允许使用 SSH。 要实现这一目的,我们可以使用SFTP,并为其构建chroot环境SFTP > chroot背景: SFTP是指SSH文件传输协议(SSH File Transfer protocol)或安全文件传输协议(Secure File Transfer Protocol), 它提供了可信数据...
linux操作系统下配置ssh/sftp和权限设置方法
09-15
本篇文章将详细介绍如何在Linux环境下配置SSH/SFTP服务以及进行权限设置。 首先,确保你的系统中SSH的版本在4.8p1以上,因为一些关键的安全特性是在这个版本之后引入的。你可以通过运行`ssh -V`来检查版本。如果...
linux系统创建SFTP用户及权限限制实战步骤
最新发布
04-29
通过使用系统自带的internal-sftp功能,可以有效地限制用户只能在其home目录下进行操作,并且仅能通过SFTP方式登录而禁止SSH登录。 #### 二、操作步骤 ##### 2.1 创建SFTP用户组 首先,我们需要创建一个专门用于...
Centos下ssh以及sftp的配置以及权限设置
03-17
- `ChrootDirectory /data/sftp/%u` 使用 chroot 将用户的根目录指定到 `/data/sftp/%u`,其中 `%u` 代表用户名。 - `ForceCommand internal-sftp` 指定使用 SFTP 命令。 - `AllowTcpForwarding no` 和 `X11...
ChrootDirectory限制SFTP登录的用户只能访问指定目录且不能进.docx
11-01
ChrootDirectory限制SFTP登录的用户只能访问指定目录且不能进.docx
手机User-Agent(去重共46479条)
11-14
最新添加User-Agent(去重共46479条),手机UA库,最新手机UA库,需要的朋友可以下载,资源来自网络.
最新User-Agent有18000个最新2019年4月最新UA库!!1.8万个CSV文本数据格式方便开发写入
04-09
最新User-Agent有18000个最新2019年4月最新UA库!!1.8万个CSV文本数据格式,方便开发写入!!适合各种安卓,苹果协议写入!!!这是2019年4月更新库到最新。方便UA协议写入软件浏览器!!
sshchroot配置
yanggd1987的专栏
01-10 1万+
需求   普通用户通过ssh登陆到跳板机后,再通过ssh跳转到内网其他服务器。跳板机只提供ssh、ls等基本命令,禁止scpsftp、管道等以防数据传输到本地;另外用户登陆后需要将其锁定在特定的目录下,防止用户浏览服务器数据。    通常情况下我们使用磁盘限额来限制用户传输数据,但是磁盘限额必须是针对独立的磁盘分区,而不能够是文件目录,因此用户家目录必须是独立挂载的,若是放在根目录下,配置磁盘限
使用 chroot 监狱限制 SSH 用户访问指定目录
weixin_34232363的博客
05-24 721
SSH 用户会话限制访问到特定的目录内,特别是在 web 服务器上,这样做有多个原因,但最显而易见的是为了系统安全。为了锁定 SSH 用户在某个目录,我们可以使用chroot机制。 在诸如 Linux 之类的类 Unix 系统中更改 rootchroot)是将特定用户操作与其他 Linux 系统分离的一种手段;使用称为chrooted 监狱...
linuxscp命令及nohup scp
热门推荐
简单-生活
06-05 1万+
linuxscp命令可以在linux主机之间复制文件和目录; 命令基本格式: scp [可选参数] file_source file_target 1、从本地复制到远程a) 复制文件 命令格式: scp local_file username@ip:remote_file 例: scp /chroot/www/web.war root@106.144.256.256
使用rssh创建一个安全的文件服务器
07-16 897
使用rssh创建一个安全的文件服务器 目前有这样一个需求,公司需要一台linux服务器作为文件服务器,但是基于安全性考虑,我不想使用ftp或者samba,但又必须允许用户上传文件。怎么办呢? 因为是linux服务器,所以可以让用户使用ssh登录到服务器上,然后使用sftp功能上传下载文件。 这样虽然解决了上边的问题,但又带来一个新的问题。 因为OpenSSH要求登录用户必须有一个...
[转]通过Chroot机制让服务器安全到底
heiyeluren的blog(黑夜路人的开源世界)
05-16 6390
所谓"监牢"就是指通过chroot机制来更改某个进程所能看到的根目录,即将某进程限制在指定目录中,保证该进程只能对该目录及其子目录的文件有所动作,从而保证整个服务器的安全。 创建chroot"监牢" 以前,Unix/Linux上的daemon都是以root权限启动的。当时,这似乎是一件理所当然的事情,因为像Apache这样的服务器软件需要绑定到"众所周知"的端口上(小于1024)来监听HT
ssh配置教程
qq_44623066的博客
04-17 4831
ssh配置教程
升级SSHsftp无法登录
05-30
如果您在升级 SSH 后无法使用 SFTP 登录,很可能是由于 SSH 配置文件中的某些更改导致的。请尝试以下解决方法: 1. 检查 SSH 配置文件(/etc/ssh/sshd_config)中的以下设置是否正确: - Subsystem sftp /usr/lib...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值