Sftp 服務(wù)限制用戶(hù)訪問(wèn)權(quán)限

Sftp服務(wù)限制用戶(hù)訪問(wèn)權(quán)限之歐侯瑞魂創(chuàng)作Sftp服務(wù)要想限制用戶(hù)的訪問(wèn)權(quán)限（即sftp那么系統(tǒng)的OpenSSH服務(wù)軟件的版本必須是4.8p1第一步：檢查OpenSSH或者：[root@Oracle2~]#sshVOpenSSH_4.3p2,OpenSSL0.9.8efipsrhel501JulOpenSSH4.3p24.8p1需要做升級(jí)。第二步：下載最新的OpenSSH軟件下載的時(shí)候，我們需要看一看官方裝置指導(dǎo)文檔Installationinstructions，里面有裝置該版本的注意事項(xiàng)和裝置步調(diào)說(shuō)明，最好仔細(xì)閱讀一下。第三步：確認(rèn)OpenSSH軟件裝置條件在官方裝置指導(dǎo)文檔中提到，裝置OpenSSH6.0需要具備兩個(gè)條件：YouwillneedworkinginstallationsofZlibandOpenSSL.上面指出了，OpenSSH6.0裝置所依賴(lài)的兩款軟件Zlib和OpenSSL的最低版本，如果服務(wù)器的軟件版本不符合要求，就要先升級(jí)該兩款軟件。首先我們需要確認(rèn)服務(wù)器上Zlib和OpenSSL軟件的版本：[root@Oracle2~]#rpmqa|grepizlib[root@Oracle2~]#rpmqa|grepiopenssl可以看到，Zlib1.42，OpenSSL0.9.8足OpenSSH6.0第四步：卸載OpenSSH軟件裝置之前，有下面幾個(gè)工作需要完成：停sshd[root@Oracle2~]#servicesshdstopStoppingsshd:[OK]備份sshd說(shuō)明：在卸載之前需要將/etc/init.d/sshd文件做個(gè)備份，裝置完成后，需要再將備份的sshd文件拷貝到/etc/init.d/目錄中，這樣可以包管升級(jí)完成后可以繼續(xù)使用servicesshdstart/stop/restart的方式管理sshd服務(wù)，否則將不成使用。卸載服務(wù)器上已經(jīng)存在的OpenSSH卸載OpenSSH，通過(guò)rpmqa命名查詢(xún)出需要卸載的rpm再用rpme命令卸載：查詢(xún)：[root@Oracle2~]#rpmqa|grepiopenssh卸載：[root@Oracle2~]#rpmeopenssh4.3p236.el5deps[root@Oracle2~]#rpmeopensshclients4.3p236.el5deps[root@Oracle2~]#rpmeopensshserver4.3p236.el5deps[root@Oracle2~]#rpmeopensshaskpass4.3p236.el5deps刪除/etc/ssh/目錄下的sshrmrf/etc/ssh/*第五步：裝置OpenSSH軟件裝置OpenSSH進(jìn)入解壓出的文件夾，依照順序執(zhí)行下面的編譯和裝置命令：[root@Oracle2~]#./configure–prefix=/usr–sysconfdir=/etc/ssh–withpam–withmd5passwords–mandir=/usr/share/man[root@Oracle2~]#make[root@Oracle2~]#makeinstall執(zhí)行完成后，就可以用sshV命名檢查openssh的版本，驗(yàn)證裝置結(jié)果：[root@Oracle2~]#sshVOpenSSH_6.0p1,OpenSSL0.9.8efipsrhel501Jul6.0p1接下來(lái)，恢復(fù)sshd文件，將備份的sshd/etc/init.d/目錄下：測(cè)試sshd服務(wù)的啟動(dòng)和停止：[root@Oracle2~]#servicesshdrestartStoppingsshd:[OK]Startingsshd:[OK]OK，到這里，OpenSSH的升級(jí)就做完了。注意：這樣升級(jí)完成，在服務(wù)器關(guān)機(jī)啟動(dòng)后，sshd服務(wù)不會(huì)自動(dòng)啟動(dòng)，為了使sshd服務(wù)在開(kāi)機(jī)時(shí)自動(dòng)啟動(dòng)，我們需要執(zhí)行下面的命令：[root@Oracle2~]#chkconfigaddsshd[root@Oracle2~]#chkconfiglevel123456sshdon這樣開(kāi)機(jī)后就可以自動(dòng)啟動(dòng)sshd服務(wù)了。第六步：配置sftp服務(wù)用戶(hù)的訪問(wèn)權(quán)限創(chuàng)建sftp/home/sftp創(chuàng)建sftpsftp[root@Oracle2~]#groupaddsftp[root@Oracle2~]#useraddgsftpd/home/sftp/blogblog[root@Oracle2（3）權(quán)限設(shè)置~]#passwdblog設(shè)置/etc/ssh/sshd_config配置文件，通過(guò)Chroot限制用戶(hù)的根目錄。[root@Oracle2~]#vi/etc/ssh/sshd_config#overridedefaultofnosubsystems#注釋掉原來(lái)的Subsystem設(shè)置#Subsystem sftp #啟用internalsftpSubsystemsftpinternalsftp#Exampleofoverridingsettingsonaperuserbasis#MatchUseranoncvs# X11Forwardingno# AllowTcpForwardingno# ForceCommandcvs#限制blogMatchUserpayChrootDirectory/home/sftp/blog/X11ForwardingnoAllowTcpForwardingnoForceCommandinternalsftp保管退出，重啟sshd服務(wù)：[root@Oracle2~]#servicesshdrestart（4）測(cè)試sftp使用blog用戶(hù)測(cè)驗(yàn)考試登錄sftp，發(fā)現(xiàn)無(wú)法登陸，給出的提示也很難看懂，什么原因呢？原來(lái)要使用Chroot功能實(shí)現(xiàn)用戶(hù)根目錄的控制，目錄權(quán)限的設(shè)置非常重要，否則將會(huì)無(wú)法登陸。目錄權(quán)限設(shè)置上要遵循2點(diǎn)：ChrootDirectory設(shè)置的目錄權(quán)限及其所有的上級(jí)文件夾權(quán)限，屬主和屬組必須是root；ChrootDirectory設(shè)置的目錄權(quán)限及其所有的上級(jí)文件夾權(quán)限，只有屬主能擁有寫(xiě)權(quán)限，也就是說(shuō)權(quán)限最大設(shè)置只能是755。2可能會(huì)影響到所有的SFTP設(shè)置目錄的屬主和權(quán)限：[root@Oracle2~]#chownroot:root/home/sftp/home/sftp/blog[root@Oracle2~]#chmod755/home/sftp/home/sftp/blog755，因此所有非root在目錄中寫(xiě)入文件。我們需要在ChrootDirectory建立子目錄，重新設(shè)置屬主和權(quán)限。以blog/home/sftp/blog/web設(shè)置完成后，我們?cè)儆胋log用戶(hù)登錄sftp，發(fā)現(xiàn)這次可以正常登錄了，而且可以訪問(wèn)的根目錄控制在了/home/sftp/blog/下，達(dá)到了我們的要求。彌補(bǔ)