Sftp服務(wù)限制用戶(hù)訪問(wèn)權(quán)限_第1頁(yè)
Sftp服務(wù)限制用戶(hù)訪問(wèn)權(quán)限_第2頁(yè)
Sftp服務(wù)限制用戶(hù)訪問(wèn)權(quán)限_第3頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、Sftp 服務(wù)限制用戶(hù)訪問(wèn)權(quán)限Sftp 服務(wù)要想限制用戶(hù)的訪問(wèn)權(quán)限(即 sftp 服務(wù)用戶(hù)只能訪問(wèn)特定的文件目錄),那么系統(tǒng)的OpenSSH 服務(wù)軟件的版本必須是 4.8p1 及以上版本才支持, 如果低于該版本, 就要首先升級(jí) OpenSSH 版本。第一步:查看OpenSSH軟件版rootOracle-2 # rpm -qa | grep ssh openssh-4.3p2-36.el5openssh-clients-4.3p2-36.el5 openssh-server-4.3p2-36.el5 openssh-askpass-4.3p2-36.el5 或者:rootOracle-2 # s

2、sh -VOpenSSH_4.3p2, OpenSSL發(fā)現(xiàn)操作系統(tǒng)的 OpenSSH軟件是4.3p2,低于4.8p1版本,所以需要做升級(jí)。第二步:下載最新的Ope nSSH軟件Ope nSSH是免費(fèi)的,可以到官網(wǎng)上進(jìn)行下載: 當(dāng)前最高版本是OpenSSH6.Q我們就可以下載該版本: 下載的時(shí)候,我們需要看一看官方安裝指導(dǎo)文檔 Installation instructions ,里面有安裝該版本的注意 事項(xiàng)和安裝步驟說(shuō)明,最好仔細(xì)閱讀一下。第三步:確認(rèn)OpenSSH軟件安裝條件在官方安裝指導(dǎo)文檔中提到,安裝Ope nSSH6.0需要具備兩個(gè)條件:You will need working in

3、stallations of Zlib and OpenSSL.Zlibealier 1.2.x versions have problems):OpenSSL 0.9.6 or greater:上面指出了,OpenSSH6.0安裝所依賴(lài)的兩款軟件Zlib和OpenSSL的最低版本,如果服務(wù)器的軟件版本不符合要求,就要先升級(jí)該兩款軟件。首先我們需要確認(rèn)服務(wù)器上Zlib和OpenSSL軟件的版本:rootOracle-2 # rpm -qa | grep -i zlibperl-Compress-Zlib-1.42-1.fc6 perl-IO-Zlib-1.04-4.2.1rootOracle-

4、2 # rpm -qa | grep -i openssl可以看到,Zlib的版本是1.42,OpenSSL的版本是0.9.8,滿(mǎn)足OpenSSH6.0安裝的要求。第四步:卸載OpenSSH軟件安裝之前,有下面幾個(gè)工作需要完成:(1 )停 sshd 服務(wù) rootOracle-2 # service sshd stop Stopping sshd: OK (2)備份 sshd 文件說(shuō)明:在卸載之前需要將 /etc/init.d/sshd 文件做個(gè)備份,安裝完成后,需要再將備份的 sshd 文件拷 貝到 /etc/init.d/ 目錄中, 這樣可以保證升級(jí)完成后可以繼續(xù)使用service ssh

5、d start/stop/restart 的方式管理 sshd 服務(wù),否則將不可使用。rootOracle-2 # cp /etc/init.d/sshd /root/sshd(3)卸載服務(wù)器上已經(jīng)存在的Ope nSSH軟件卸載OpenSSH通過(guò)rpm -qa命名查詢(xún)出需要卸載的rpm軟件包,再用rpm -e命令卸載:查詢(xún):rootOracle-2 # rpm -qa | grep -i openssh openssh-4.3p2-36.el5openssh-clients-4.3p2-36.el5openssh-server-4.3p2-36.el5 openssh-askpass-4.3p

6、2-36.el5 卸載:rootOracle-2 # rpm -e openssh-4.3p2-36.el5 -depsrootOracle-2 # rpm -e openssh-clients-4.3p2-36.el5 -depsrootOracle-2 # rpm -e openssh-server-4.3p2-36.el5 -depsrootOracle-2 # rpm -e openssh-askpass-4.3p2-36.el5 -deps( 4)刪除 /etc/ssh/ 目錄下的 ssh 文件rm -rf /etc/ssh/*第五步:安裝OpenSSH軟件解壓下載的軟件包rootO

7、racle-2 # tar -zxvf安裝OpenSSH軟件: 進(jìn)入解壓出的文件夾,按照順序執(zhí)行下面的編譯和安裝命令:rootOracle-2 # ./c on figure prefix=/usr sysc on fdir=/etc/ssh with-pam with-md5-passwords-mandir=/usr/share/manrootOracle-2 # makerootOracle-2 # make install 執(zhí)行完成后,就可以用 ssh -V 命名查看 openssh 的版本,驗(yàn)證安裝結(jié)果:rootOracle-2 # ssh -VOpenSSH_6.0p1, Open

8、SSL 可以看到版本已經(jīng)變成6.0p1 了,說(shuō)明安裝沒(méi)有問(wèn)題。接下來(lái),恢復(fù) sshd 文件,將備份的 sshd 文件復(fù)制到 /etc/init.d/ 目錄下:rootOracle-2 # cp /root/sshd /etc/init.d/sshd測(cè)試 sshd 服務(wù)的啟動(dòng)和停止:rootOracle-2 # service sshd restartStopping sshd: OK Starting sshd: OK OK,到這里,OpenSSH的升級(jí)就做完了。這樣升級(jí)完成, 在服務(wù)器關(guān)機(jī)啟動(dòng)后, sshd 服務(wù)不會(huì)自動(dòng)啟動(dòng), 為了使 sshd 服務(wù)在開(kāi)機(jī)時(shí)自動(dòng)啟動(dòng), 我們需要執(zhí)行下面的命令

9、:rootOracle-2 # chkconfig -add sshdrootOracle-2 # chkconfig -level 123456 sshd on 這樣開(kāi)機(jī)后就可以自動(dòng)啟動(dòng) sshd 服務(wù)了。參考內(nèi)容: 第六步:配置 sftp 服務(wù)用戶(hù)的訪問(wèn)權(quán)限 ( 1)創(chuàng)建 sftp 用戶(hù)的主根目錄 rootOracle-2 # mkdir -p /home/sftp rootOracle-2 # chmod -R 755 /home/sftp ( 2)創(chuàng)建 sftp 用戶(hù)組和一個(gè) sftp 用戶(hù) rootOracle-2 # groupadd sftp rootOracle-2 # use

10、radd -g sftp -d /home/sftp/blog blog rootOracle-2 # passwd blog(3)權(quán)限設(shè)置設(shè)置 /etc/ssh/sshd_config 配置文件,通過(guò) Chroot 限制用戶(hù)的根目錄。 rootOracle-2 # vi /etc/ssh/sshd_config# override default of no subsystems#注釋掉原來(lái)的 Subsystem 設(shè)置#Subsystem sftp /usr/libexec/sftp-server#啟用 internal-sftpSubsystem sftp internal-sftp# E

11、xample of overriding settings on a per-user basis #Match User anoncvs#X11Forwarding no#AllowTcpForwarding no#ForceCommand cvs server#限制 blog 用戶(hù)的根目錄Match User payChrootDirectory /home/sftp/blog/X11Forwarding noAllowTcpForwarding no ForceCommand internal-sftp保存退出,重啟 sshd 服務(wù):rootOracle-2 # service sshd

12、 restart( 4)測(cè)試 sftp 權(quán)限控制使用 blog 用戶(hù)嘗試登錄 sftp ,發(fā)現(xiàn)無(wú)法登陸,給出的提示也很難看懂,什么原因呢? 原來(lái)要使用 Chroot 功能實(shí)現(xiàn)用戶(hù)根目錄的控制,目錄權(quán)限的設(shè)置非常重要,否則將會(huì)無(wú)法登陸。 目錄權(quán)限設(shè)置上要遵循 2 點(diǎn):ChrootDirectory 設(shè)置的目錄權(quán)限及其所有的上級(jí)文件夾權(quán)限,屬主和屬組必須是 root ; ChrootDirectory 設(shè)置的目錄權(quán)限及其所有的上級(jí)文件夾權(quán)限,只有屬主能擁有寫(xiě)權(quán)限,也就 是說(shuō)權(quán)限最大設(shè)置只能是 755。如果不能遵循以上 2點(diǎn),即使是該目錄僅屬于某個(gè)用戶(hù),也可能會(huì)影響到所有的SFTP用戶(hù)。設(shè)置目錄的屬

13、主和權(quán)限:rootOracle-2 # chown root:root /home/sftp /home/sftp/blogrootOracle-2 # chmod 755 /home/sftp /home/sftp/blog由于上面設(shè)置了目錄的權(quán)限是 755,因此所有非 root 用戶(hù)都無(wú)法在目錄中寫(xiě)入文件。我們需要在 ChrootDirectory 指定的目錄下建立子目錄,重新設(shè)置屬主和權(quán)限。以 blog 目錄為例: rootOracle-2 # mkdir /home/sftp/blog/webrootOracle-2 # chown blog:sftp /home/sftp/blog/webrootOracle-2 # chown 775 /home/sftp/blog/web 設(shè)置完成后,我們?cè)儆?blog 用戶(hù)登錄 sftp ,發(fā)現(xiàn)這次可以正常登錄了,并且可

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論