有些应用场景下需要限制用户只能使用SFTP,但不允许登陆系统SHELL。这里介绍几种方法来实现这样的需求。

一、通过MySecureShell实现

什么是MySecureShell

MySecureShell is a sftp-server developing tool which help to make a ftp server like proftpd but very securised with SSH encryption. This software is highly configurable and very easy to install and use.

安装MySecureShell

  • 配置三方软件源

Centos 5
$ vim /etc/yum.repos.d/mysecureshell.repo[mysecureshell]name=MySecureShellbaseurl=http://mysecureshell.free.fr/repository/index.php/centos/5.5/enabled=1gpgcheck=0
Centos 6
$ vim /etc/yum.repos.d/mysecureshell.repo[mysecureshell]name=MySecureShellbaseurl=http://mysecureshell.free.fr/repository/index.php/centos/6.4/enabled=1gpgcheck=0

  • 安装MySecureShell

$ yum --disablerepo=\* --enablerepo=mysecureshell install mysecureshell

配置MySecureShell

$ vi  /etc/ssh/sftp_config主要修改以下几项LimitConnection         10      #max connection for the server sftpLimitConnectionByUser   1       #max connection for the accountLimitConnectionByIP     2       #max connection by ip for the accountHome                    /home/$USER     #overrite home of the user but if you want you can use                                        #environment variable (ie: Home /home/$USER)

LimitConnectionByUser、LimitConnectionByIP、LimitConnection根据需要可适当调大点,不然可能会现连接不上的现像。Home这项如果建用户时指定了主目录且不在缺省的/home下,可以把这项注释掉或修改为用户主目录所在位置。如果用户主目录在/home下可保持不变。

修改用户Shell为MySecureShell
$ chsh -s /bin/MySecureShell mike

二、通过OpenSSH的internal-sftp实现

如果要启用OpenSSH自带的的Chroot功能,OpenSSH版本必需在在4.8p1以上。

检查OpenSSH版本

$ rpm -qa|grep opensshopenssh-4.3p2-26.el5openssh-server-4.3p2-26.el5openssh-askpass-4.3p2-26.el5openssh-clients-4.3p2-26.el5

由于CentOS5.X自带的OpenSSH版本过低不支持SFTP CHROOT,所以需要先把SSH升级到4.8P1以上。升级可参考:CentOS下安装OpenSSH 5.8的三种方法

创建用于SFTP的用户

$ useradd  -d /home/TempUpload/ -M test2

配置sshd_config

$ vi  /etc/ssh/sshd_config#注释原本的Subsystem设置Subsystem    sftp    /usr/libexec/openssh/sftp-server#启用internal-sftpSubsystem       sftp    internal-sftpMatch User    test2 ChrootDirectory /home/TempUploadForceCommand    internal-sftp

Match user设定要被chroot的用户,若要设定多个帐号, 帐号间以逗号隔开。例如:Match user userA,userB

如果是群组的则将User改为Group后,再接群组名称。例如:Match Group rootedSFTP

ChrootDirectory设定要chroot的位置,可以加上PATTERNS做区隔。如/home/%u,%u表示用户变量,%h为限制到用户的主目录。更多可见:man sshd_config

设定Chroo目录权限

$ chown root:root /home/TempUpload$ chmod 755 /home/TempUpload

错误的目录权限设定会导致在log中出现”fatal: bad ownership or modes for chroot directory XXXXXX” 的讯息。
目录的权限设定有两个要点:
1、由ChrootDirectory指定的目录开始一直往上到系统根目录为止的目录拥有者都只能是root
2、由ChrootDirectory指定的目录开始一直往上到系统根目录为止都不可以具有群组写入权限

建立SFTP用户登入后可写入的目录

$ mkdir /home/TempUpload/Upload$ chown test2:test2 /home/TempUpload/Upload

检查sshd_config內容是否正确

$ sshd -T

重新启动sshd

$ service sshd restart

三、其它方法

  还可通过scponly和rssh实现,这两个的原理和MySecureShell差不多,不过这两个必须先做得做一个CHROOT环境,相对比较麻烦些。


©著作权归作者所有:来自51CTO博客作者mb5fe94c9f04536的原创作品,如需转载,请注明出处,否则将追究法律责任

更多相关文章

  1. 一行代码引来的安全漏洞就让我们丢失了整个服务器的控制权
  2. ndk,cygwin编译 .so动态库
  3. Android(安卓)Studio卡在refreshing gradle project的原因和快速
  4. [置顶] 基于 Android(安卓)NDK 的学习之旅-----目录
  5. Android(安卓)Tasks and Back Stack
  6. Android(安卓)CountDownTimer
  7. 读书目录
  8. Android(安卓)手机Root 原理解析
  9. 建个android程序,弱弱的介绍下它的目录结构

随机推荐

  1. android中延迟执行某个任务的几种处理方
  2. Android ADT 离线下载技巧(告别在线安装的
  3. android canvas实现在图片上画图
  4. Android获取View的截图,包括各种Layout的
  5. Android常用框架----网络请求系列框架
  6. 分享17个老罗Android开发视频教程(免费下
  7. Android中一个关于ListView的奇怪问题
  8. Android UI 详解之单选(RadioButton)和复选
  9. AIDL --- Android中的远程接口(3)
  10. 学习理解Android菜单Menu操作