限制SSH远程登录用户仅能只读访问Linux中指定的目录

最新推荐文章于 2023-03-31 11:34:38 发布
最新推荐文章于 2023-03-31 11:34:38 发布
阅读量1.3k 收藏 2
点赞数
文章标签: 运维 shell 操作系统
原文链接:http://www.cnblogs.com/hy007x/p/6812728.html
版权
背景需求:
在TOMCAT服务器上建立一个普通帐号log_user,只能查看TOMCAT日志,不能删改任何文件,不能执行fdisk、df、dd、mkdir、yum等命令,不能访问日志目录以外的路径。
系统:centos6.6
tomcat安装路径:/opt/apache-tomcat
tomcat日志路径:/opt/apache-tomcat/logs
 
 
操作过程:
 
一、使用mknod命令在/opt建立/dev下的文件:
mkdir /opt/dev   //该步骤可省略。/opt被设定为log_user的“根目录”
cd /opt/dev
mknod -m 666 null c 1 3
mknod -m 666 tty c 5 0
mknod -m 666 zero c 1 5
mknod -m 666 random c 1 8
 
二、设置log_user用户的根目录权限:
chown root:root /opt
chmod 0755 /opt
 
三、为远程SSH设置交互式shell:
mkdir /opt/bin
mkdir /opt/lib64   //用于调用shell命令的共享库
cp -v /bin/bash /opt/bin    //复制bash文件到log_user目录
ldd /bin/bash    //查询bash所需的共享库文件名及路径
cp -v /lib64/{linux-vdso.so.1 libtinfo.so.5 libdl.so.2 libc.so.6 ld-linux-x86-64.so.2} /opt/lib64/
//将共享库文件复制到log_user的lib库中
 
四、创建log_user用户:
useradd log_user && echo 'log_user' | passwd --stdin log_user
 
五、创建log_user用户的配置目录:
mkdir /opt/etc
cp -vf /etc/{passwd,group} /opt/etc    //当新增类似用户时,要及时更新这两个文件
 
六、编辑passwd和group文件,只保留log_user相关的那行,如下图所示:
 
七、配置ssh与chroot关联起来:
将下面两行追加到/etc/ssh/sshd_config文件:
Match User log_user   //添加要被chroot的用户
ChrootDirectory /opt   //指定log_user的根路径,它将被限制在该路径下
保存退出,restart或reload SSH服务
 
八、创建用户log_user的家目录,添加LINUX命令:
mkdir -p /opt/home/log_user   //建立log_user的家目录
chown -R log_user:log_user /opt/home/log_user   //家目录属主和属组必须是log_user自己
chmod -R 0700 /opt/home/log_user   //家目录读写权限通常是0700
cp -v /bin/{ls,date,cat,grep} /opt/bin   //让log_user用户能使用常用命令
通过ldd /bin/ls查找该的共享库文件路径,并复制到/opt/lib64中:
ldd /bin/ls
cp -v /lib64/{linux-vdso.so.1,libselinux.so.1,librt.so.1,libcap.so.2,libacl.so.1,libc.so.6,libdl.so.2,libpthread.so.0.libattr.so.1} /opt/lib64/
//遇到提示是否overwrite,选‘yes’(如果不复制这些文件,则log_user用户在执行命令时可能会报错,提示缺少xxxx文件)
 
九、用ACL重新设置下tomcat帐号的权限:
yum install acl //安装ACL
vi /etc/fstab,给根分区添加,acl,如下图所示:
mount -o remount,rw /
setfacl -R -m u:log_user:rx /opt   //设置log_user帐号的权限
setfacl -R -m u:tomcat:rwx /opt/apache-tomcat   //设置tomcat帐号的权限。
 
十、登录方式:
只能通过SSH@服务器方式登录,限制才会生效。如果是在本地直接登录log_user,则无效!
在本机或其它机器上:ssh log_user@服务器IP
输入:ls pwd cd /
输入:mkdir df -h fdisk -l
操作成功!!!可以看到,用户已经被限制在/opt目录下,输入:cd /看到的其实是/opt目录的内容。
 
不再需要该用户,并使系统回退到之前的状态:
cd /opt
rmdir dev/ lib64/ etc/ home/ bin/ usr/
setfacl -b -R ./
userdel log_user
chown tomcat:tomcat /opt/apache-tomcat
 
如果在ssh时报错:
Write failed: Broken pipe
这个问题的原因是ChrootDirectory的权限问题,你设定的目录必须是root用户所有,否则就会出现问题。所以请确保sftp用户根目录的所有人是root, 权限是 750 或者 755。可通过查看/var/log/secure日志来准确判断是哪个路径的权限出错。
执行以下命令排错试试:
chown -Rroot:root /opt/    //opt为log_user用户的根路径
setfacl -R -m u:log_user:rx /opt
 
注:将/opt/apache-tomcat/logs目录设置为log_user的“根”应该更符合要求。

转载于:https://www.cnblogs.com/hy007x/p/6812728.html

weixin_30505225
关注
linux添加普通用户并且只能访问指定目录
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
05-19 2247
最近公司内部同事需要,普通用户查看服务器上面的一些日志
Linux7 挂载 nfs 远程目录
LuciferLiu_DBA
09-27 1万+
每天一个 DBA 小知识,助你更进一步!
配置ssh用户访问特定目录
热门推荐
jason的博客
06-22 1万+
公司需要对指定用户进行限制,只允许访问指定目录,网上翻了一大堆一直有问题,经过最后研究,其实只是一个小细节配置有问题; 具体流程如下: 1、创建用户:useradd -d directory  username 2、修改密码:passwd username 3、配置sshd_config Subsystem      sftp    internal-sftp Match User s
linux限制用户ssh登陆_限制SSH远程登录用户仅能只读访问Linux指定目录
weixin_39633171的博客
01-17 1636
背景需求:在TOMCAT服务器上建立一个普通帐号log_user,只能查看TOMCAT日志,不能删改任何文件,不能执行fdisk、df、dd、mkdir、yum等命令,不能访问日志目录以外的路径。系统:centos6.6tomcat安装路径:/opt/apache-tomcattomcat日志路径:/opt/apache-tomcat/logs操作过程:一、使用mknod命令在/opt建立/dev...
ssh用户访问特定目录
qq_38961339的博客
12-04 1518
配置ssh用户访问特定目录 1,添加用户 添加用户组 # groupadd groupname 添加用户 # useradd username -m -s /bin/bash -d /home/username -g groupname 参数说明: -s /sbin/nologin设置不能登陆-s /bin/false(老方法) 也行 -d 设置用户目录 -g 用户组 -m 创建用户目录 2、修改密码:passwd username 3、配置sshd_config Subsystem sf
用户ssh登陆后限制指定目录linux创建只读用户
ioryhm的博客
11-10 1518
应用场景:建立只读用户,只让该用户访问特定的日志目录,则该用户登陆后只在该目录下,只能查看该目录下的一些内容,无法向上切换目录。 基本思路:建立chroot监狱,一个最基本的chroot环境至少有一个shell(例如sh,bash)和一些必要的系统设备文件(例如/dev/null,/dev/zero),如果要允许用户执行一些命令,那么还要准备相应的命令可执行文件和命令依赖的库文件。 说明:下面所用命令测试基于redhat7或centos7版本 我们现在建立一个用户rouser,并把它限定在/home/
Linux系统禁止root账号远程登录的命令
09-14
完成上述步骤后,root用户就不能通过SSH远程登录了。你可以使用新创建的`admin`(或`xiaowen`)用户登录,然后通过`sudo`命令切换到root用户,执行需要root权限的命令。例如: ```bash su - root ``` 输入密码后,...
linuxSSH配合SecureCRT的密匙完美使用方法.rar_linux_secureCRT_ssh
09-20
在IT行业Linux系统是广泛应用于服务器管理的操作系统,而SSH(Secure Shell)是一种网络协议,用于在不安全的网络环境提供安全的远程登录和其他网络服务。SecureCRT是一款功能强大的终端仿真器,支持多种协议...
python 创建文件夹指定权限_Linux创建新用户并赋给指定文件权限
weixin_39968490的博客
12-04 942
工作用到了,写篇日志总结一下。创建新的用户:第一种方式:创建用户: adduser name创建密码: passwd name(回车后出现修改密码的提示)该方式创建的用户目录默认在home下。第二种方式:useradd -d /usr/disp -m passwd该方法可以在创建用户时制定该用户的根路径和密码。通过这种方式创建的用户可以使用ssh登录,但只有只读权限可以浏览下载部分文件无法写和修...
window10 使用ssh连接本地虚拟机-putty工具远程访问虚拟机文件
小虎哥的博客
03-28 3290
window10 通过ssh访问本地虚拟机,宿主机和虚拟机互ping,并用putty工具远程访问虚拟机文件。
linux 账号只允许访问特定目录,Linux 控制普通用户ftp 只访问用户的 家目录
weixin_39793434的博客
04-29 1081
创建用户:#adduser -d /data/home/website1 -g www website1//创建用户#passwd website1//设置密码#Changing password for user usertest.#New UNIX password:#Retype new UNIX password:#passwd: all authentication tokens upd...
linux限定用户只能访问默认目录,linux 限制用户访问指定目录
weixin_39688636的博客
04-29 2837
1,添加用户useradd -d /var/www user1passwd user1 #设置密码2,修改sshd_config,使用 chroot 监狱限制 SSH 用户访问指定目录vim /etc/ssh/sshd_config#文件最后添加如下代码Match User user1ChrootDirectory /var/wwwX11Forwarding noAllowTcpForwardi...
linux ssh禁止用户访问任何目录,怎么限制远程ssh用户访问特定的文件
weixin_26969967的博客
04-30 563
比如我要实现以下目标,通过配置linux限制SSH用户指定目录user 1 只可以访问 /Media, /Documents以及它的家目录User 2 只可以访问/Folder21, 以及它的家目录,User 3 只可以访问 /Documents, /Folder21 以及他的家目录,ssh如何限制指定目录2. 通过配置Linux权限限制SSH用户访问指定目录通过配置Linux权限限制SSH用户访...
Linux每个用户单独配置ssh,大神全面解读如何限制SSH用户访问Linux指定目录...
weixin_42250528的博客
04-29 435
SSH 用户会话限制访问到特定的目录内,特别是在 web 服务器上,这样做有多个原因,但最显而易见的是为了系统安全。为了锁定 SSH 用户在某个目录,我们可以使用 chroot 机制。在诸如 Linux 之类的类 Unix 系统更改 root(chroot)是将特定用户操作与其他 Linux 系统分离的一种手段;使用称为 chrooted 监狱 的新根目录更改当前运行的用户进程及其子进程的明...
linux创建只读用户并赋予ssh权限
weixin_54515490的博客
03-31 1374
打开文件:vim /etc/ssh/sshd_config。passwd (用户名) 点击回车会让你设置密码。usermod -g nobody (用户名)AllowUsers (用户名)useradd (用户名)
linux 限制ssh登录用户登录,如何限制SSH用户访问Linux指定目录
weixin_35370061的博客
04-28 790
SSH 用户会话限制访问到特定的目录内,特别是在 web 服务器上,这样做有多个原因,但最显而易见的是为了系统安全。为了锁定 SSH 用户在某个目录,我们可以使用 chroot 机制。在诸如 Linux 之类的类 Unix 系统更改 root(chroot)是将特定用户操作与其他 Linux 系统分离的一种手段;使用称为 chrooted 监狱 的新根目录更改当前运行的用户进程及其子进程...
服务器上的文件总提示只读,如何解决域内成员打开文件老是以只读方式打开
weixin_34797871的博客
08-11 1491
复制文件或文件夹从服务器到时是不同的域的成员服务器 ,第二个服务器可能不标识第一个服务器的本地组. 出现此问题的第二个服务器无法识别安全标识符 (SID),第一台服务器的本地组的原因. 本文讨论一种解决此问题的方法.当将您的文件或文件夹从一个服务器复制到另一台服务器是不同的域的成员时,将访问控制项的第一台服务器的本地组在第二个服务器上显示为 未知 . 这些访问控制项都在随机访问控制列表 (DACL...
linux 设置用户只读,Linux只读账号配置
weixin_35656078的博客
04-29 534
整个配置的命令如下(主要使用了:Linuxbash受限的shell(RESTRICTEDSHELL))步骤#1.创建只读shell#ln-s/bin/bash/bin/rbash#2.创建用户指定用户启动执行的shell#useradd-s/bin/rbashreadonly#3.修改用户密码#passwdreadonly#4.创建用户shell执行命令目录#mkdi...
linux安装ftp并对用户设置只能访问某一个文件夹的权限
m0_37695902的博客
09-29 5517
1.查看ftp是否安装 rpm -qa |grep vsftp 2.ftp卸载命令 yum remove vsftpd 3.安装ftp yum install vsftpd 4.ftp服务的开启与关闭命令 // 开启 service vsftpd start //关闭 service vsftpd stop //设置为开机启动 chkconfig vsftpd on 5.创建用户ftpuser (可随意起名) useradd -d /home/ftpuser ftpuser /
ssh 免密登录 linux 服务器
最新发布
07-05
SSH (Secure Shell) 免密登录 Linux 服务器是一种安全的远程访问协议,它允许用户在不输入用户名和密码的情况下,从一台计算机连接到另一台远程服务器执行命令或管理文件。以下是设置 SSH 免密登录的基本步骤: 1. **安装 SSH**: 在 Linux 服务器上,如果你还没有安装 SSH,可以通过包管理器安装,如 Debian/Ubuntu 使用 `apt-get install openssh-server`,Red Hat/CentOS 则用 `yum install openssh-server`。 2. **配置 SSH 私钥对**: - 首先,在本地机器生成一个新的 SSH 密钥对,通常在 `~/.ssh` 目录下: ``` ssh-keygen -t rsa ``` - 接着,会提示选择保存位置,直接按回车默认即可,然后确认操作。私钥(id_rsa)将会被保留,公钥(id_rsa.pub)将自动复制到剪贴板,粘贴到服务器的 authorized_keys 文件。 3. **将公钥添加到服务器**: 登录到服务器,编辑 `.ssh/authorized_keys` 文件(如果不存在,创建一个并追加公钥内容),并将你的公钥粘贴进去。确保权限设置为 600(只读用户和组): ``` chmod 600 ~/.ssh/authorized_keys ``` 4. **测试免密登录**: 回到本地,尝试使用 `ssh user@server_ip`(将 `user` 替换为实际用户名,`server_ip` 为服务器的 IP 地址),如果没有密码提示,则说明免密登录已经设置成功。 5. **防火墙设置**: 如果你的服务器开启了防火墙,可能需要允许来自特定 IP 或 IP 地址范围的 SSH 连接。你可以通过修改防火墙规则(比如 iptables 或 ufw)来开放相应的端口(通常是 22)。 相关问题: 1. 如何查看当前已有的 SSH 密钥? 2. SSH 免密登录的安全性如何保障? 3. 如何检查服务器上的 SSH 是否启用并监听?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值