如何限定Linux操作系统中某个用户的活动目录(ssh用户监牢)

最新推荐文章于 2024-06-04 14:46:08 发布
最新推荐文章于 2024-06-04 14:46:08 发布
阅读量403 收藏
点赞数
分类专栏: 随手杂记 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myself88129/article/details/130926127
版权
文章详细描述了如何在CentOS系统中创建一个chroot监牢,包括创建限定用户目录,使用mknod创建设备文件,设置目录权限,创建交互式环境,添加用户,修改SSH配置以限制用户访问,并测试连接。在这个监牢中,用户只能执行有限的命令。
摘要由CSDN通过智能技术生成

目录

1、先创建限定用户的活动目录

2、用mknod创建/dev/下的相关文件

3、chroot监牢中设置合适的权限

4、chroot监牢设置交互式

5、创建被监牢的用户

6、修改ssh中的配置文件

7、进行测试连接被chroot监牢的用户

1、先创建限定用户的活动目录

        该目录必须包含支持用户会话所必需的文件和目录。

[root@Centos7 ~]# mkdir -pv /home/test
[root@Centos7 ~]# ls -l /dev/{null,zero,stdin,stdout,stderr,random,tty}
crw-rw-rw- 1 root root 1, 3 12月  5 08:55 /dev/null
crw-rw-rw- 1 root root 1, 8 12月  5 08:55 /dev/random
lrwxrwxrwx 1 root root   15 12月  5 08:55 /dev/stderr -> /proc/self/fd/2
lrwxrwxrwx 1 root root   15 12月  5 08:55 /dev/stdin -> /proc/self/fd/0
lrwxrwxrwx 1 root root   15 12月  5 08:55 /dev/stdout -> /proc/self/fd/1
crw-rw-rw- 1 root tty  5, 0 12月  5 08:55 /dev/tty
crw-rw-rw- 1 root root 1, 5 12月  5 08:55 /dev/zero

2、用mknod创建/dev/下的相关文件

[root@Centos7 ~]# mkdir -pv /home/test/dev
[root@Centos7 ~]# mknod -m 666 null c 1 3
[root@Centos7 ~]# mknod -m 666 tty c 5 0
[root@Centos7 ~]# mknod -m 666 zero c 1 5
[root@Centos7 ~]# mknod -m 666 random c 1 8
-m标志用来指定文件权限位
c是字符文件
其中2个数字分别是文件指向和主要号和次要号

3、chroot监牢中设置合适的权限

        注意chroot和它的子录目以及子文件必须是被root用户所有,并且普通用户不可写。

[root@Centos7 ~]# chown root.root /home/test
[root@Centos7 ~]# chmod 755 /home/test
[root@Centos7 ~]# ls -lrtd /home/test
drwxr-xr-x 6 root root 53 11月 23 02:50 /home/test

4、chroot监牢设置交互式

[root@Centos7 ~]# mkdir -pv /home/test/bin
[root@Centos7 ~]# mkdir -pv /home/test/lib64
[root@Centos7 ~]# cp -v /bin/bash /home/test/bin
设定bash运行所需要的系统动态库文件,并把它们复制到/home/test/lib64目录下
[root@Centos7 ~]# ldd /bin/bash
	linux-vdso.so.1 =>  (0x00007ffe9fbf3000)
	libtinfo.so.5 => /lib64/libtinfo.so.5 (0x00007f5b9cdf3000)
	libdl.so.2 => /lib64/libdl.so.2 (0x00007f5b9cbef000)
	libc.so.6 => /lib64/libc.so.6 (0x00007f5b9c821000)
	/lib64/ld-linux-x86-64.so.2 (0x00007f5b9d01d000)
[root@Centos7 ~]# cp -v /lib64/{libtinfo.so.5,libdl.so.2,libc.so.6,d-linux-x86-64.so.2} /home/test/lib64

5、创建被监牢的用户

[root@Centos7 ~]# useradd tom
[root@Centos7 ~]# echo 'tom'|passwd --stdin tom
创建被监牢用户的配置目录
[root@Centos7 ~]# mkdir -pv /home/test/etc
[root@Centos7 ~]# cp -vf /etc/{passwd,group} /home/test/etc

6、修改ssh中的配置文件

        该操作是来chroot被监牢的用户和目录。

[root@Centos7 ~]# vi /etc/ssh/sshd_config
把以下内容添加到配置文件中相应的位置,保存配置文件后,重启sshd服务
ChrootDirectory  /home/test
Match User tom
[root@Centos7 ~]# systemctl restart sshd.service 或 service sshd restart

7、进行测试连接被chroot监牢的用户

[root@Centos7 ~]# ssh tom@192.168.2.10
-bash-4.2$ ls
-bash: ls: command not found
-bash-4.2$ cd
-bash: ls: command not found

        注:此时被监牢的用户进入操作系统之后不能执行相关的命令,此时只能执行(pwd,echo,history)3个命令。如果添加多个被监牢的用户时,需要把/etc/{passwd,group}重新复制到被监牢的目录里,这里是/home/test/etc。如果想要被监牢的用户执行相关命令,请按照第4步中的动态库查看和复制操作

满天点点星辰
关注
专栏目录
linux ssh禁止用户访问任何目录,SSH限制普通用户到家目录
weixin_36184985的博客
04-30 704
在这个例子,建立了一个"迷你监狱"用来测试一个只有 ls 命令的 Bash shell。首先用 mkdir 命令设定好 abc "监狱" 路径。1.创建用户abcuseradd abcpasswd abc2.用root用户建立目录 :mkdir -p /chroot/{etc,dev,proc,lib,bin,lib64,home,usr}mkdir -p /chroot/usr/binmkdi...
用户ssh登陆限制在指定目录linux创建只读用户
ioryhm的博客
11-10 1461
应用场景:建立只读用户,只让该用户访问特定的日志目录,则该用户登陆后只在该目录下,只能查看该目录下的一些内容,无法向上切换目录。 基本思路:建立chroot监狱,一个最基本的chroot环境至少有一个shell(例如sh,bash)和一些必要的系统设备文件(例如/dev/null,/dev/zero),如果要允许用户执行一些命令,那么还要准备相应的命令可执行文件和命令依赖的库文件。 说明:下面所用命令测试基于redhat7或centos7版本 我们现在建立一个用户rouser,并把它限定在/home/
linux限制用户目录
weixin_30292843的博客
01-12 71
本文翻译链接:http://www.techrepublic.com/blog/linux-and-open-source/chroot-users-with-openssh-an-easier-way-to-confine-users-to-their-home-directories/ 不足之处,尽请谅解。 用openssh改变用户目录:一个简单的方式约束用户在他们的家目录 1,...
linux限制用户访问目录6,使用 chroot 监狱限制 SSH 用户访问指定目录
weixin_32596893的博客
05-01 405
SSH 用户会话限制访问到特定的目录内,特别是在 web 服务器上,这样做有多个原因,但最显而易见的是为了系统安全。为了锁定 SSH 用户在某个目录,我们可以使用chroot机制。在诸如 Linux 之类的类 Unix 系统更改 root(chroot)是将特定用户操作与其他 Linux 系统分离的一种手段;使用称为chrooted 监狱的新根目录更改当前运行的用户进程及其子进程的明...
linux限定用户目录及权限
weixin_30610755的博客
07-07 110
setfacl-mu:username:rwxdir/file -m:添加或者修改 u[设置用户]:username[用户名]:rwx[设置权限] g[设置组]:groupname[组名]:rwx[设置权限] setfacl-mu:username:r-Rdir#同时设置子目录下的权限 -R:递归设置子目录下的权限 setfacl-xu:use...
linux 只给用户访问的权限,如何限制Linux用户访问权限
weixin_26643379的博客
04-28 885
如果你不希望自己的文件被人读取,又或者只是不想某个特定的用户读取修改文件,限制访问权限是最好的处理方法,下面小编就给大家介绍下Linux限制用户访问权限的方法,一起来学习下吧。现在需要限定某个用户对特定目录/文件的访问权限,或者把某个用户访问范围限制在某个目录/文件。现实情况下,还是能遇到这样的需求的,比如说ubuntu下有多个可登录用户,默认情况下,用户A的工作目录(一般为/home/A)...
linux操作系统下配置ssh/sftp和权限设置方法
01-10
2、限定用户活动目录,使用户只能在指定的目录下活动,使用 sftp 的 ChrootDirectory 配置 确定版本 #确保 ssh 的版本高于 4.8p1 否则升级一下 一般都高于这个版本 ssh -V 新建用户用户组 #添加用户组 sftp...
Linux创建新用户并设置SSH登录权限及密钥登录详细操作过程
witty3的博客
10-07 6786
1、在客户机使用 SSH 密码方式远程登录,验证 SSH 是否生效(验证前需要将配置文件的PasswordAuthentication 参数先改回 yes 并重启 sshd 服务)3、编辑 /etc/ssh/sshd_config 文件,设置 SSH 权限,找到AllowUsers,加入用户名,多个用户名之间用空格隔开,另附上其他设置。3、将生成的 .pub 公钥文件的内容保存到目标服务器的 ~/.ssh/authorized_keys 文件内,每行一个公钥文件。生成 4096 位 RSA 密钥。
Linux创建新用户并设置SSH证书登录
Ghosind
11-10 4635
Linux下使用`useradd`命令创建新用户,并设置密码或生成证书设置SSH登录。
linux文件系统目录操作实验报告,Linux操作系统实验报告
weixin_30045135的博客
04-28 2320
Linux操作系统实验报告》由会员分享,可在线阅读,更多相关《Linux操作系统实验报告(13页珍藏版)》请在人人文库网上搜索。1、实验 Linux shell基本命令使用实验目的:熟悉Linux操作系统环境,掌握Linux的基本命令。实验提示:1、Linux命令行的语法结构:$ command -option(s) option argument(s) command argument(s)含...
Linux系统允许或拒绝SSH访问特定用户或组的方法
qq_40907977的博客
11-11 3608
openSSH默认配置文件有两个指令,允许和拒绝对特定用户或组的SSH访问,本文所要介绍的内容是允许或拒绝在Linux系统对特定用户或组的SSH访问。一旦我们将用户置于限制模式,他就无法做任何事情,除了他被允许做什么,当你希望允许特定用户仅执行一组特定命令时,该方法就能用上了。 一、允许SSH访问用户或组 首先,我们将看到如何允许特定用户SSH访问(在Ubuntu 18.04系统启用SSH登...
linux限制用户只允许访问某个目录
最新发布
zd1320732的专栏
06-04 508
【代码】linux限制用户只允许访问某个目录
linux ssh禁止用户访问任何目录,怎么限制远程ssh用户访问特定的文件
weixin_26969967的博客
04-30 541
比如我要实现以下目标,通过配置linux限制SSH用户指定目录user 1 只可以访问 /Media, /Documents以及它的家目录User 2 只可以访问/Folder21, 以及它的家目录,User 3 只可以访问 /Documents, /Folder21 以及他的家目录,ssh如何限制指定目录2. 通过配置Linux权限限制SSH用户访问指定目录通过配置Linux权限限制SSH用户访...
linux限制用户目录权限吗,Linux下创建目录用户,并限制对应用户权限
weixin_31486289的博客
05-10 246
Linux下创建目录用户,并且限制不同用户的所属权限。直接来案例。案例描述如下:———————————————————————————————————一. 在目录/root 创建如下4个目录:1. Computer;2. DigitArt;3.InfoManagement;4. AppEnglish.二. 新建8个用户, teacher_c(计科系老师), student_c(计科系学生)t...
Linux监狱限制SSH用户访问指定目录(一)
winwll的专栏
09-18 3748
Linux监狱限制SSH用户访问指定目录
linux的某一用户登陆限定在家目录
weixin_33750452的博客
01-16 353
使用root登录,执行 chmod o-r /home 这条命令的意思是不让其他用户对home有读取权限,但是是可以进入的,当执行ls命令时,会提示权限拒绝。比如,你按照上述的方法做了,然后使用aaa用户登录,当aaa用户退出home之后,再执行ls /home就会提示权限不够,但是aaa用户却可以使用cd /home/aaa进入到自己的目录。下面是操作...
如何限制SSH用户访问Linux指定的目录
weixin_33913377的博客
08-15 1598
SSH 用户会话限制访问到特定的目录内,特别是在 web 服务器上,这样做有多个原因,但最显而易见的是为了系统安全。为了锁定 SSH 用户在某个目录,我们可以使用 chroot 机制。 在诸如 Linux 之类的类 Unix 系统更改 root(chroot)是将特定用户操作与其他 Linux 系统分离的一种手段;使用称为 chrooted 监...
linux限制用户只能在家目录,限制用户在特定目录(监狱)
weixin_39644750的博客
04-28 2010
以root用户执行以下操作。一、 使用 mkdir 命令开始创建 chroot 监狱(给某用户分配的目录):a).mkdir-p/home/test二.交互式会话,需要至少一个 shell,通常为 sh 和基本的 /dev 节点。如 null、zero、stdin、stdout、stderr 和 tty 设备:a).ls-l/dev/{null,zero,stdin,stdout,stde...
linux普通用户home目录锁定
weixin_34413103的博客
06-01 676
 
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值