使用 chroot 监狱限制 SSH 用户访问指定目录

最新推荐文章于 2022-06-24 17:33:40 发布
最新推荐文章于 2022-06-24 17:33:40 发布
阅读量619 收藏
点赞数
分类专栏: Linux 文章标签: chroot ssh限制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/netgc/article/details/103270160
版权

使用 chroot 监狱限制 SSH 用户访问指定目录

将 SSH 用户会话限制访问到特定的目录内,特别是在 web 服务器上,这样做有多个原因,但最显而易见的是为了系统安全。为了锁定 SSH 用户在某个目录,我们可以使用 chroot 机制。

在诸如 Linux 之类的类 Unix 系统中更改 root(chroot)是将特定用户操作与其他 Linux 系统分离的一种手段;使用称为 chrooted 监狱 的新根目录更改当前运行的用户进程及其子进程的明显根目录。

在本教程中,我们将向你展示如何限制 SSH 用户访问 Linux 中指定的目录。注意,我们将以 root 用户身份运行所有命令,如果你以普通用户身份登录服务器,请使用 sudo 命令。

步骤 1:创建 SSH chroot 监狱

1、 使用 mkdir 命令开始创建 chroot 监狱:

mkdir -p /home/test

2、 接下来,根据 sshd_config 手册找到所需的文件,ChrootDirectory 选项指定在身份验证后要 chroot 到的目录的路径名。该目录必须包含支持用户会话所必需的文件和目录。

对于交互式会话,这需要至少一个 shell,通常为 sh 和基本的 /dev 节点,例如nullzerostdinstdoutstderrtty 设备:

ls -l /dev/{null,zero,stdin,stdout,stderr,random,tty}

列出所需文件

crw-rw-rw- 1 root root 1, 3 Nov 26 16:53 /dev/null
crw-rw-rw- 1 root root 1, 8 Nov 26 16:53 /dev/random
lrwxrwxrwx 1 root root   15 Nov 27 00:53 /dev/stderr -> /proc/self/fd/2
lrwxrwxrwx 1 root root   15 Nov 27 00:53 /dev/stdin -> /proc/self/fd/0
lrwxrwxrwx 1 root root   15 Nov 27 00:53 /dev/stdout -> /proc/self/fd/1
crw-rw-rw- 1 root tty  5, 0 Nov 26 16:53 /dev/tty
crw-rw-rw- 1 root root 1, 5 Nov 26 16:53 /dev/zero

3、 现在,使用 mknod 命令创建 /dev 下的文件。在下面的命令中,-m 标志用来指定文件权限位,c 意思是字符文件,两个数字分别是文件指向的主要号和次要号。

创建 /dev 和所需文件

mkdir -p /home/test/dev/
cd /home/test/dev/
mknod -m 666 null c 1 3
mknod -m 666 tty c 5 0
mknod -m 666 zero c 1 5
mknod -m 666 random c 1 8

4、 在此之后,在 chroot 监狱中设置合适的权限。注意 chroot 监狱和它的子目录以及子文件必须被 root 用户所有,并且对普通用户或用户组不可写:

chown root:root /home/test
chmod 0755 /home/test
ls -ld /home/test

显示如下:

drwxr-xr-x 3 root root 17 Nov 27 09:06 /home/test

步骤 2:为 SSH chroot 监狱设置交互式 shell

5、 首先,创建 bin 目录并复制 /bin/bashbin 中:

mkdir -p /home/test/bin
cp -v /bin/bash /home/test/bin/

6、 现在,识别 bash 所需的共享库,如下所示复制它们到 lib64 中:

ldd /bin/bash

输出如下:

        linux-vdso.so.1 =>  (0x00007fff5adbc000)
        libtinfo.so.5 => /lib64/libtinfo.so.5 (0x00007f5e2a9d9000)
        libdl.so.2 => /lib64/libdl.so.2 (0x00007f5e2a7d5000)
        libc.so.6 => /lib64/libc.so.6 (0x00007f5e2a408000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f5e2ac03000)

mkdir -p /home/test/lib64`
cp -v /lib64/{libtinfo.so.5,libdl.so.2,libc.so.6,ld-linux-x86-64.so.2} /home/test/lib64/`

步骤 3:创建并配置 SSH 用户

7、 现在,使用 useradd 命令创建 SSH 用户,并设置安全密码:

useradd user1
passwd user1

8、 创建 chroot 监狱通用配置目录 /home/test/etc 并复制已更新的账号文件(/etc/passwd/etc/group)到这个目录中:

mkdir /home/test/etc
cp -vf /etc/{passwd,group} /home/test/etc/

注意:每次向系统添加更多 SSH 用户时,都需要将更新的帐户文件复制到 /home/test/etc 目录中。

步骤 4:配置 SSH 来使用 chroot 监狱

9、 现在打开 sshd_config 文件。

vi /etc/ssh/sshd_config

在此文件中添加或修改下面这些行。

# 定义要使用 chroot 监狱的用户
Match User 1
# 指定 chroot 监狱
ChrootDirectory /home/test

保存文件并退出,重启 sshd 服务:

systemctl restart sshd
# 或者
service sshd restart

步骤 5:测试 SSH 的 chroot 监狱

10、 这次,测试 chroot 监狱的设置是否如希望的那样成功了:

ssh user1@192.168.0.10
-bash-4.1$ ls
-bash-4.1$ date
-bash-4.1$ uname

输出:

-bash-4.2$  ls
-bash: ls: command not found
-bash-4.2$ date
-bash: date: command not found
-bash-4.2$ uanme
-bash: uanme: command not found
-bash-4.2$

我们可以看到 SSH 用户被锁定在了 chroot 监狱中,并且不能使用任何外部命令如(lsdateuname 等等)。

用户只可以执行 bash 以及它内置的命令(比如:pwdhistoryecho 等等):

-bash-4.1$ pwd
-bash-4.1$ echo "Test Chroot"
-bash-4.1$ history

显示如下:

-bash-4.2$ pwd
/
-bash-4.2$ echo "Test Chroot"
Test Chroot
-bash-4.2$ history
    1  ls
    2  dir
    3  ls
    4  date
    5  pwd
    6  history
    7   ls
    8  date
    9  uanme
   10  pwd
   11  echo "Test Chroot"
   12  history

需要执行其他命令,请看下述12的操作

步骤 6: 创建用户的主目录并添加 Linux 命令

11、 从前面的步骤中,我们可以看到用户被锁定在了 root 目录,我们可以为 SSH 用户创建一个主目录(以及为所有将来的用户这么做):

mkdir -p /home/test/home/user1
chown -R user1:user1 /home/test/home/user1
chmod -R 0700 /home/test/home/user1

12、 接下来,在 bin 目录中安装几个用户命令,如 lsdatemkdir

cp -v /bin/ls /home/test/bin/
cp -v /bin/date /home/test/bin/
cp -v /bin/mkdir /home/test/bin/

13、 接下来,检查上面命令的共享库并将它们移到 chroot 监狱的库目录中:

ldd /bin/ls

输出如下:

        linux-vdso.so.1 =>  (0x00007fff5adbc000)
        libtinfo.so.5 => /lib64/libtinfo.so.5 (0x00007f5e2a9d9000)
        libdl.so.2 => /lib64/libdl.so.2 (0x00007f5e2a7d5000)
        libc.so.6 => /lib64/libc.so.6 (0x00007f5e2a408000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f5e2ac03000)

cp -v /lib64/{libselinux.so.1,libcap.so.2,libacl.so.1,libc.so.6,libpcre.so.1,libdl.so.2,ld-linux-x86-64.so.2,libattr.so.1,libpthread.so.0} /home/test/lib64/

步骤 7:测试 sftp 的 用 chroot 监狱

14、 最后用 sftp 做一个测试;测试你先前安装的命令是否可用。

/etc/ssh/sshd_config 中添加下面的行:

# 启用 sftp 的 chroot 监狱
ForceCommand internal-sftp

保存并退出文件。接下来重启 sshd 服务:

systemctl restart sshd
# 或者
service sshd restart

15、 现在使用 ssh 测试,你会得到下面的错误:

ssh user1@192.168.0.10

This service allows sftp connections only.

试下使用 sftp:

sftp user1@192.168.0.10

user1@192.168.0.10's password:
Connected to 192.168.0.10.
sftp> pwd
Remote working directory: /opt/home/user1

原文发布时间为:2017-03-16

本文来自云栖社区合作伙伴“Linux中国”

内容和格式略有修改

sysin.org
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ansible-role-ssh-chroot-jail:Ansible角色-SSH chroot监狱配置
01-31
为了提高安全性,管理员可以使用 SSH chroot 监狱限制用户访问特定的目录,从而防止他们对系统其余部分进行不必要的操作。 **SSH Chroot 监狱的概念** SSH chroot 监狱是一种安全机制,它通过将 SSH 用户的根...
ldap-chrootjail:一个bash脚本,为可以通过SSH访问Linux系统的Microsoft AD用户创建chroot监狱
04-04
chroot监狱中,用户无法访问chroot外部的任何资源,只能在指定目录树范围内操作,这大大减少了他们可能造成的破坏。 **使用ldap-chrootjail** 的过程通常包括以下步骤: 1. **安装和配置**:首先,你需要在...
使用chroot监狱限制SSH用户访问指定目录.docx
10-31
使用chroot监狱限制SSH用户访问指定目录.docx
利用openssh实现chroot监牢
系统运维
10-09 166
我们不想让SSH 登陆的用户随意浏览我系统的文件,只给他固定在指定地方活动。 环境:Red Hat Enterprise Linux Server release 6.2 openssh 需要4.7p 以上版本 建立一个允许ssh的登陆用户 [root@localhost ~]# useradd gao 更改用户的密码 [root@localhost ~]# passwd gao C...
Linux守护进程详解,ftp用户组管理,ssh服务详解,centos7中实现chroot限制ssh及sftp至指定目录
清凌的博客
12-09 899
ftp相关的内容: Linux守护进程详解(init.d和xinetd) https://www.cnblogs.com/alantu2018/p/8462557.html ftp用户组管理: linux下查看所有用户及所有用户组 https://www.cnblogs.com/jackyyou/p/5498083.html 关于ssh的一些安全权限设置等等,写得非常详细 ssh服务详解 http...
linux 限制访问目录,系统运维|使用 chroot 监狱限制 SSH 用户访问指定目录
weixin_29158047的博客
04-29 474
SSH 用户会话限制访问到特定的目录内,特别是在 web 服务器上,这样做有多个原因,但最显而易见的是为了系统安全。为了锁定 SSH 用户在某个目录,我们可以使用 chroot 机制。在诸如 Linux 之类的类 Unix 系统中更改 root(chroot)是将特定用户操作与其他 Linux 系统分离的一种手段;使用称为 chrooted 监狱 的新根目录更改当前运行的用户进程及其子进程的明...
linux限制用户访问目录6,使用 chroot 监狱限制 SSH 用户访问指定目录
weixin_32596893的博客
05-01 370
SSH 用户会话限制访问到特定的目录内,特别是在 web 服务器上,这样做有多个原因,但最显而易见的是为了系统安全。为了锁定 SSH 用户在某个目录,我们可以使用chroot机制。在诸如 Linux 之类的类 Unix 系统中更改 root(chroot)是将特定用户操作与其他 Linux 系统分离的一种手段;使用称为chrooted 监狱的新根目录更改当前运行的用户进程及其子进程的明...
linux-chroot-jail:为 ssh、sftp 和 vsftp 监禁 Linux 用户的脚本
07-11
linux-chroot-监狱用于 ssh、sftp 和 vsftp 监禁 Linux 用户的脚本监狱用户.sh jailuser.sh 此脚本会在指定用户此后登录服务器时强制执行监禁的 ssh 会话。 用户仅限于$APPS 中指定的命令列表。 它应该适用于大多数 ...
forsh:Shell用于通过Jumphost仅转发ssh连接
05-10
它可以是静态链接的,也可以轻松放入chroot监狱。 如果用户尝试以交互方式登录或运行命令, forsh将记录该尝试。 如果用户仅请求端口转发或stdin / stdout / stderr转发(如ProxyJump和-W所做的那样),则这不视为...
Vsftp(vsftpd)如何配置可以把用户限制在自己的home目录
letian003的专栏
05-05 3572
如何有选择的把用户限制在家目录中呢?我们要自己建一个文件,在/etc目录中 #touch /etc/vsftpd.chroot_list以beinan和nanbei这两个用户限制在他们所在的家目录中,而其它的FTP用户不做此限制。 在vsftpd.chroot_list这个文件中,把beinan和nanbei添上去就行,注意,每个用户占一行。 beinan nanbei然后改/etc/vsftpd/vsftpd.conf文件,找如下的两行 #chroot_list_enable=YES
使用chroot限制SFTP用户到主目录
Clement
08-28 1878
文章目录1. 将用户限制到主目录1.1 创建或修改用户和组1.2 修改SSH配置文件1.3 验证SSH和SFTP用户登录2. 将用户限制到特定目录2.1 创建组和新用户2.2 配置SSH以进行SFTP访问3. 结论4. 参考 在本教程中,我们将讨论如何将SFTP用户限制为他们的主目录或特定目录。这意味着用户只能访问其各自的主目录,而不能访问整个文件系统。 限制用户的主目录至关重要,尤其是在共享服务器环境中,这样,未经授权的用户就不会偷窥其他用户的文件和文件夹。 重要说明:还请注意,本文的目的是仅提供SFTP
linux ssh 锁定目录,sshd使用chroot锁定用户目录
weixin_33027875的博客
05-13 580
缘由在centos上新建一个用户(lockeduser),这个用户使用ssh登录,登录后锁定在家目录(/home/lockeduser)对于用户来说,/home/lockeduser就是他能看到的/目录。这个用户只让他看到某个系统日志(如message),那就把/var/message链接到他的home目录(root视野)用户登录后,就能看到message在/目录下,当然还要给用户查看工具,如ca...
chroot限制普通用户登录特定目录
weixin_33908217的博客
06-27 1038
需求:普通用户登陆到服务器上只能执行ssh,ls,cat等有限的基础命令,另外要求把用户锁定在特定目录中,不能看到其他任何目录下文件创建查看日志的用户useradd -m ttxsgoto -s /bin/bashpasswd ttxsgoto2.初始化chroot环境mkdir /home/chrootmkdir /home/chroot/{bin,dev,lib,lib6...
使用Chroot限制SSH用户访问
weixin_44308897的博客
06-24 488
使用Chroot限制SSH用户访问
linux系统创建SFTP用户及设置其chroot权限
你的油还满吗
02-26 8668
创建SFTP用户及设置chroot权限
SFTP+OpenSSH+ChrootDirectory设置
weixin_34216107的博客
07-15 354
账户设置 SFTP的账户直接使用Linux操作系统账户,我们可以用useradd命令来创建账户。 首先建立3个要管理的目录:   1 2 3 mkdir /home/sftp/homepage mkdir /home/sftp/blog mkdir /home/sftp/pay 创建sftp组和www、blog、pay...
chroot--实现系统普通用户在限定目录下活动
weixin_34128237的博客
08-25 184
今天应客户需求需在几台linux系统的服务器上创建一普通用户,并将此用户限制在某一目录之下,但同时又不干扰其他用户的正常使用。看到要求我脑海中闪出的是:创建ftp用户倒是弄过,这类的add用户还真没做过呢。。。刚好来研究研究吧(查资料,并虚拟机实验)。。。了解到了chroot的原理和使用,以下是大致的操作步骤: 1、首先useradd创建te...
搭建一个简易的 sftp 服务器
sigmarising的博客
09-09 778
搭建一个简易的 sftp 服务器 本文将基于 Linux 系统,搭建基于 open-ssh-sftp-server 的 sftp 服务器。 Step 1. 安装依赖包 对于 Ubuntu 系统而言: sudo apt-get install openssh-client openssh-server openssh-sftp-server 对于 CentOS 系统而言: sudo yum i...
linux ssh配置目录权限管理,怎么限制ssh用户访问指定目录
weixin_34353619的博客
04-28 2083
1. 前言本文主要讲解如何限制ssh远程登录用户访问指定目录。举例:比如我要实现以下目标,通过配置Linux限制SSH用户指定目录user 1 只可以访问 /Media, /Documents以及它的家目录User 2 只可以访问/Folder21, 以及它的家目录,User 3 只可以访问 /Documents, /Folder21 以及他的家目录,2. 通过配置Linux权限限制SSH用户访问...
怎么使用 chroot 环境来限制用户访问权限
最新发布
06-10
使用 chroot 环境来限制用户访问权限,您可以按照以下步骤进行操作: 1. 创建一个新的目录,该目录将成为 chroot 环境的根目录。例如,您可以创建一个名为 /var/chroot目录作为根目录。 2. 将所有必需的文件和目录复制到 chroot 环境中。这些文件包括二进制文件、库文件、配置文件、设备文件和其他必需的文件。您可以使用命令如“cp”、“rsync”、“tar”等来完成此操作。 3. 使用 chroot 命令将进程的根目录更改为您创建的 chroot 环境的根目录。例如,要将 shell 进程的根目录更改为 /var/chroot,可以使用以下命令: ``` chroot /var/chroot /bin/bash ``` 4. 配置 chroot 环境以限制用户访问权限。您可以限制用户可以访问的文件和目录,以及用户可以执行的命令和操作。例如,您可以使用 chroot 环境来限制用户只能访问其家目录中的文件,或者限制用户访问特定的网络资源。 需要注意的是,使用 chroot 环境仅限制了进程的访问权限,并不能完全保证系统的安全性。在实际应用中,您还需要采取其他措施来保护系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值