使用Chroot限制SSH用户的访问

于 2022-06-24 17:33:40 发布
阅读量488 收藏 1
点赞数
文章标签: ssh linux bash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44308897/article/details/125449741
版权

使用Chroot限制SSH用户的访问

1、设置Chroot牢笼(现有目录或新建目录)

  1. 创建该用户的根目录,设置权限为root所有且对普通用户不可写
    • mkdir -p /home/chroot
    • chown root:root /home/chroot
  2. 设置shell环境
    • 在用户根目录创建dev目录
      • mkdir -p /home/chroot/dev
    • 切换到dev目录并添加相应的设备(文件)
      • cd /home/chroot/dev
      • mknod -m 666 null c 1 3
      • mknod -m 666 random c 1 8
      • mknod -m 666 tty c 5 0
      • mknod -m 666 zero c 1 5

2、为chroot牢笼设置交互式shell

  1. 在用户根目录创建bin目录,并复制一个bash到bin

    • mkdir -p /home/chroot/bin
    • cp -v /bin/bash /home/chroot/bin/

  2. 识别bash所需的共享库,并复制到新建的相应目录

    • ldd /bin/bash

      root@H470SD4:/home/chroot# ldd /bin/bash
	linux-vdso.so.1 (0x00007ffd052c9000)
	libtinfo.so.6 => /lib/x86_64-linux-gnu/libtinfo.so.6 (0x00007fdb2c656000)
	libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007fdb2c650000)
	libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fdb2c45e000)
	/lib64/ld-linux-x86-64.so.2 (0x00007fdb2c7c5000)

    • mkdir /home/chroot/lib64

    • mkdir -p /home/chroot/lib/x86_64-linux-gnu

    • cp -v /lib64/ld-linux-x86-64.so.2 /home/chroot/lib64/

    • cp -v /lib/x86_64-linux-gnu/{libtinfo.so.6,libdl.so.2,libc.so.6} /home/chroot/lib/x86_64-linux-gnu/

      root@H470SD4:/home/chroot# mkdir /home/chroot/lib64
root@H470SD4:/home/chroot# mkdir -p /home/chroot/lib/x86_64-linux-gnu
root@H470SD4:/home/chroot# cp -v /lib64/ld-linux-x86-64.so.2 /home/chroot/lib64/
'/lib64/ld-linux-x86-64.so.2' -> '/home/test/lib/ld-linux-x86-64.so.2'
root@H470SD4:/home/chroot# cp -v /lib/x86_64-linux-gnu/{libtinfo.so.6,libdl.so.2,libc.so.6} /home/chroot/lib/x86_64-linux-gnu/
'/lib/x86_64-linux-gnu/libtinfo.so.6' -> '/home/chroot/lib/x86_64-linux-gnu/libtinfo.so.6'
'/lib/x86_64-linux-gnu/libdl.so.2' -> '/home/chroot/lib/x86_64-linux-gnu/libdl.so.2'
'/lib/x86_64-linux-gnu/libc.so.6' -> '/home/chroot/lib/x86_64-linux-gnu/libc.so.6'

3、配置用户环境

  1. 新建用户并设置密码
    • useradd tester
    • passwd tester
  2. 复制账户文件及组文件到新建的相应目录(每次新增用户都需要添加到该目录中)
    • mkdir /home/chroot/etc
    • cp -vf /etc/{passwd,group} /home/chroot/etc/
  3. 创建用户家目录并设置相应权限
    • mkdir -p /home/chroot/home/tester
    • chown -R tester:tester /home/chroot/home/tester
    • chmod -R 0700 /home/chroot/home/tester
  4. (可选)为用户添加相关命令
    1. 复制命令
      • cp -v /bin/ls /home/chroot/bin/
      • cp -v /bin/mkdir /home/chroot/bin/
    2. 复制共享库下上面依赖的文件到相应目录,ldd查看,cp复制(见2.2)
      • ldd /bin/ls
      • ldd /bin/mkdir
      • cp -v /lib/x86_64-linux-gnu/{…} /home/chroot/lib/x86_64-linux-gnu/
  5. (可选)为用户添加所有命令
    1. 复制命令
      • cp -vrf /bin/* /home/chroot/bin/
    2. 复制共享库
      • cp -vrpf /lib/x86_64-linux-gnu/* /home/chroot/lib/x86_64-linux-gnu/

4、配置SSH使用chroot牢笼

  1. 修改SSH配置文件,添加以下内容

    • vim /etc/ssh/sshd_config

      Match User tester
ChrootDirectory /home/chroot

  2. 重启ssh服务使配置生效ser

    • service sshd restart

5、客户端SSH登陆tester账户进行测试

  • 打开cmd或终端输入以下命令
    • ssh tester@服务器IP或域名
愿挽天倾者请起身
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
centos7.7下部署基于sshchroot
weixin_47753256的博客
05-14 591
一、 创建chroot目录以及拷贝相关的文件 mkdir /home/chroot cd /home/chroot #拷贝系统的命令,尽量和系统环境一致 rsync -av /bin ./ rsync -av /etc ./ rsync -av /lib ./ rsync -av /lib64 ./ rsync -av /usr ./ rsync -av /home ./ mkdir tmp dev proc chmod 1777 tmp #挂载proc到ch
一键部署某用户ssh后限定在某个目录中(更新selinux安全上下文)
11-10
通过chroot方式限制用户ssh登陆后被限定在某个目录中,可以用于作一些只读用户,让其只能访问特定目录,并通过目录下其他目录的属主及权限控制方式实现该用户为只读用户。本资源提供一键部署脚本,用户名和目录在...
使用 chroot 监狱限制 SSH 用户访问指定目录
weixin_34232363的博客
05-24 710
SSH 用户会话限制访问到特定的目录内,特别是在 web 服务器上,这样做有多个原因,但最显而易见的是为了系统安全。为了锁定 SSH 用户在某个目录,我们可以使用chroot机制。 在诸如 Linux 之类的类 Unix 系统中更改 rootchroot)是将特定用户操作与其他 Linux 系统分离的一种手段;使用称为chrooted 监狱...
使用chroot限制SFTP用户到主目录
Clement
08-28 1878
文章目录1. 将用户限制到主目录1.1 创建或修改用户和组1.2 修改SSH配置文件1.3 验证SSH和SFTP用户登录2. 将用户限制到特定目录2.1 创建组和新用户2.2 配置SSH以进行SFTP访问3. 结论4. 参考 在本教程中,我们将讨论如何将SFTP用户限制为他们的主目录或特定目录。这意味着用户只能访问其各自的主目录,而不能访问整个文件系统。 限制用户的主目录至关重要,尤其是在共享服务器环境中,这样,未经授权的用户就不会偷窥其他用户的文件和文件夹。 重要说明:还请注意,本文的目的是仅提供SFTP
chroot 限制 SSH 用户访问指定目录-linux
dengbin_40的博客
02-27 3047
1.查看openssh软件版本,想sftp服务用户只能访问特定的文件目录,版本需要4.8以上 [root@iZwz9d5ft4g687cdt47wx4Z ~]# rpm -qa | grep openssh openssh-server-7.4p1-13.el7_4.x86_64 openssh-7.4p1-13.el7_4.x86_64 openssh-clients-7.4p1-13.el7...
利用openssh实现chroot监牢
系统运维
10-09 166
我们不想让SSH 登陆的用户随意浏览我系统的文件,只给他固定在指定地方活动。 环境:Red Hat Enterprise Linux Server release 6.2 openssh 需要4.7p 以上版本 建立一个允许ssh的登陆用户 [root@localhost ~]# useradd gao 更改用户的密码 [root@localhost ~]# passwd gao C...
使用chroot监狱限制SSH用户访问指定目录.docx
10-31
使用 chroot 监狱限制 SSH 用户访问指定目录 本文档将向您展示如何使用 chroot 监狱限制 SSH 用户访问指定目录。在 Linux 系统中,chroot 监狱是一种限制用户访问的机制,可以将用户会话限制在特定的目录内,以提高...
一键部署某用户ssh后限定在某个目录中
10-30
通过chroot方式限制用户ssh登陆后被限定在某个目录中,可以用于作一些只读用户,让其只能访问特定目录,并通过目录下其他目录的属主及权限控制方式实现该用户为只读用户。本资源提供一键部署脚本,用户名和目录在...
jail-shell:Jail-shell是一种Linux安全工具,主要使用chroot,名称空间技术,限制用户执行特定命令以及访问单独目录
02-05
它通过结合使用`chroot`、名称空间(namespace)技术,以及对可执行命令和可访问目录的严格控制,来确保系统安全,防止恶意用户或病毒对系统造成破坏。在本文中,我们将深入探讨这些关键概念及其应用。 首先,`...
ansible-role-ssh-chroot-jail:Ansible角色-SSH chroot监狱配置
01-31
为了提高安全性,管理员可以使用 SSH chroot 监狱来限制用户访问特定的目录,从而防止他们对系统其余部分进行不必要的操作。 **SSH Chroot 监狱的概念** SSH chroot 监狱是一种安全机制,它通过将 SSH 用户的根...
ssh+chroot -- 给ssh上把锁
weixin_34055787的博客
08-13 167
ssh+chroot ,给ssh上把锁。   尽管普通用户的权限不足,但是让他在系统中随便乱逛也不行,以免让他看到不该看的东西,必须将他关在“牢”里。   环境 CentOS 6.3 x64   主要用到的文件是/lib64/security/pam_chroot.so 1、让ssh使用PAM,确保配置文件sshd_config 中下面的选项生效   UsePAM yes   ...
登录ssh进行chroot的操作
zws0932的专栏
10-23 654
1。建立chroot后的目录 mkdir -p /vm/chroot/{bin,home,lib64} 2. 把登录用户的目录拷贝到/vm/chroot/home下面 cp -r /home/supertool /vm/chroot/home 3.把要给用户执行的命令及相应的库拷贝到bin,lib64下面,脚本如下: #!/bin/bash #bin.
opensshchroot配置指南
weixin_34260991的博客
06-19 181
最近有这么一个需求,根据公司安全部的要求,需要在IDC放一台登录跳板,以后用户访问IDC内的服务器都必须先登录跳板服务器,然后再ssh到其他服务器。安全部要求安全最大化,普通用户登陆到这台跳板以后只能执行ssh,ls等有限的基础命令。另外要求把用户锁定在特定目录下,这样即使被hack,也不会影响其他用户。在openssh 4.8p1以前的版本,要支持chroot,必须使用第三...
sshchroot配置
yanggd1987的专栏
01-10 10000
需求   普通用户通过ssh登陆到跳板机后,再通过ssh跳转到内网其他服务器。跳板机只提供ssh、ls等基本命令,禁止scp、sftp、管道等以防数据传输到本地;另外用户登陆后需要将其锁定在特定的目录下,防止用户浏览服务器数据。    通常情况下我们使用磁盘限额来限制用户传输数据,但是磁盘限额必须是针对独立的磁盘分区,而不能够是文件目录,因此用户家目录必须是独立挂载的,若是放在根目录下,配置磁盘限
ssh锁定(chroot)普通账号的活动目录
weixin_33739627的博客
11-23 125
ssh锁定(chroot)普通账号的活动目录1、创建一个普通账号:[root@localhost~]#useradduser1 [root@localhost~]#passwduser1 Changingpasswordforuseruser1. Newpassword: BADPASSWORD:itistoosimplistic/syste...
linux+ssh+账号锁定,ssh锁定(chroot)普通账号的活动目录
weixin_35964171的博客
05-13 328
ssh锁定(chroot)普通账号的活动目录1、创建一个普通账号:[root@localhost~]#useradduser1[root@localhost~]#passwduser1Changingpasswordforuseruser1.Newpassword:BADPASSWORD:itistoosimplistic/systematicBADPASSWOR...
openssh server配置默认目录(chrootDirectory )
徐同保的专栏
10-11 1635
ChrootDirectory C:\Jenkins\workspace
Linux openssh sftp 设置 ChrootDirectory 之后无法登录 的 解决办法
xufulin2的博客
01-19 1751
Linux openssh sftp 设置 ChrootDirectory %h 之后无法登录 的 原因很简单 https://serverfault.com/a/990649/586524 意思就是需要将那个被 chroot 的目录的拥有者设置成 root 举个例子: ChrootDirectory /home/sftp_share 那就需要执行命令:chown root:root /home/sftp_share 问题就解决了。就是这么简单。。 ...
linux ssh 锁定目录,sshd使用chroot锁定用户目录
weixin_33027875的博客
05-13 580
缘由在centos上新建一个用户(lockeduser),这个用户使用ssh登录,登录后锁定在家目录(/home/lockeduser)对于用户来说,/home/lockeduser就是他能看到的/目录。这个用户只让他看到某个系统日志(如message),那就把/var/message链接到他的home目录(root视野)用户登录后,就能看到message在/目录下,当然还要给用户查看工具,如ca...
怎么使用 chroot 环境来限制用户访问权限
最新发布
06-10
例如,您可以使用 chroot 环境来限制用户只能访问其家目录中的文件,或者限制用户访问特定的网络资源。 需要注意的是,使用 chroot 环境仅限制了进程的访问权限,并不能完全保证系统的安全性。在实际应用中,您还...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值