Sftp 服務(wù)限制用戶訪問權(quán)限_第1頁
Sftp 服務(wù)限制用戶訪問權(quán)限_第2頁
Sftp 服務(wù)限制用戶訪問權(quán)限_第3頁
Sftp 服務(wù)限制用戶訪問權(quán)限_第4頁
Sftp 服務(wù)限制用戶訪問權(quán)限_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

/Sftp服務(wù)限制用戶訪問權(quán)限Sftp服務(wù)要想限制用戶的訪問權(quán)限(即sftp服務(wù)用戶只能訪問特定的文件目錄),那么系統(tǒng)的OpenSSH服務(wù)軟件的版本必須是4.8p1與以上版本才支持,如果低于該版本,就要首先升級(jí)OpenSSH版本。

第一步:查看OpenSSH軟件版

[root@Oracle-2~]#rpm-qa|grepsshopenssh-4.3p2-36.el5openssh-clients-4.3p2-36.el5openssh-server-4.3p2-36.el5openssh-askpass-4.3p2-36.el5

或者:

[root@Oracle-2~]#ssh-VOpenSSH_4.3p2,OpenSSL0.9.8e-fips-rhel501Jul2008

發(fā)現(xiàn)操作系統(tǒng)的OpenSSH軟件是4.3p2,低于4.8p1版本,所以需要做升級(jí)。

第二步:下載最新的OpenSSH軟件

OpenSSH是免費(fèi)的,可以到官網(wǎng)上進(jìn)行下載:當(dāng)前最高版本是OpenSSH6.0,我們就可以下載該版本:openssh-6.0p1.tar.gz

下載的時(shí)候,我們需要看一看官方安裝指導(dǎo)文檔Installationinstructions,里面有安裝該版本的注意事項(xiàng)和安裝步驟說明,最好仔細(xì)閱讀一下。

第三步:確認(rèn)OpenSSH軟件安裝條件

在官方安裝指導(dǎo)文檔中提到,安裝OpenSSH6.0需要具備兩個(gè)條件:

YouwillneedworkinginstallationsofZlibandOpenSSL.Zlib1.1.4ororgreater(ealier1.2.xversionshaveproblems):

OpenSSL0.9.6orgreater:

上面指出了,OpenSSH6.0安裝所依賴的兩款軟件Zlib和OpenSSL的最低版本,如果服務(wù)器的軟件版本不符合要求,就要先升級(jí)該兩款軟件。

首先我們需要確認(rèn)服務(wù)器上Zlib和OpenSSL軟件的版本:

[root@Oracle-2~]#rpm-qa|grep-izlibzlib-devel-1.2.3-3perl-Compress-Zlib-1.42-1.fc6zlib-1.2.3-3perl-IO-Zlib-1.04-4.2.1

[root@Oracle-2~]#rpm-qa|grep-iopensslpyOpenSSL-0.6-1.popenssl-devel-0.9.8e-12.el5openssl-0.9.8e-12.el5

可以看到,Zlib的版本是1.42,OpenSSL的版本是0.9.8,滿足OpenSSH6.0安裝的要求。

第四步:卸載OpenSSH軟件

安裝之前,有下面幾個(gè)工作需要完成:

(1)停sshd服務(wù)[root@Oracle-2~]#servicesshdstopStoppingsshd:[OK]

(2)備份sshd文件說明:在卸載之前需要將/etc/init.d/sshd文件做個(gè)備份,安裝完成后,需要再將備份的sshd文件拷貝到/etc/init.d/目錄中,這樣可以保證升級(jí)完成后可以繼續(xù)使用servicesshdstart/stop/restart的方式管理sshd服務(wù),否則將不可使用。[root@Oracle-2~]#cp/etc/init.d/sshd/root/sshd

(3)卸載服務(wù)器上已經(jīng)存在的OpenSSH軟件卸載OpenSSH,通過rpm-qa命名查詢出需要卸載的rpm軟件包,再用rpm-e命令卸載:

查詢:[root@Oracle-2~]#rpm-qa|grep-iopensshopenssh-4.3p2-36.el5openssh-clients-4.3p2-36.el5openssh-server-4.3p2-36.el5openssh-askpass-4.3p2-36.el5

卸載:[root@Oracle-2~]#rpm-eopenssh-4.3p2-36.el5-deps[root@Oracle-2~]#rpm-eopenssh-clients-4.3p2-36.el5-deps[root@Oracle-2~]#rpm-eopenssh-server-4.3p2-36.el5-deps[root@Oracle-2~]#rpm-eopenssh-askpass-4.3p2-36.el5-deps

(4)刪除/etc/ssh/目錄下的ssh文件rm-rf/etc/ssh/*

第五步:安裝OpenSSH軟件

解壓下載的軟件包openssh-6.0p1.tar.gz[root@Oracle-2~]#tar-zxvfopenssh-6.0p1.tar.gz

安裝OpenSSH軟件:進(jìn)入解壓出的文件夾,按照順序執(zhí)行下面的編譯和安裝命令:[root@Oracle-2~]#./configure–prefix=/usr–sysconfdir=/etc/ssh–with-pam–with-md5-passwords–mandir=/usr/share/man[root@Oracle-2~]#make[root@Oracle-2~]#makeinstall

執(zhí)行完成后,就可以用ssh-V命名查看openssh的版本,驗(yàn)證安裝結(jié)果:[root@Oracle-2~]#ssh-VOpenSSH_6.0p1,OpenSSL0.9.8e-fips-rhel501Jul2008

可以看到版本已經(jīng)變成6.0p1了,說明安裝沒有問題。

接下來,恢復(fù)sshd文件,將備份的sshd文件復(fù)制到/etc/init.d/目錄下:[root@Oracle-2~]#cp/root/sshd/etc/init.d/sshd

測(cè)試sshd服務(wù)的啟動(dòng)和停止:[root@Oracle-2~]#servicesshdrestartStoppingsshd:[OK]Startingsshd:[OK]

OK,到這里,OpenSSH的升級(jí)就做完了。

注意:這樣升級(jí)完成,在服務(wù)器關(guān)機(jī)啟動(dòng)后,sshd服務(wù)不會(huì)自動(dòng)啟動(dòng),為了使sshd服務(wù)在開機(jī)時(shí)自動(dòng)啟動(dòng),我們需要執(zhí)行下面的命令:

[root@Oracle-2~]#chkconfig--addsshd[root@Oracle-2~]#chkconfig--level123456sshdon

這樣開機(jī)后就可以自動(dòng)啟動(dòng)sshd服務(wù)了。

參考內(nèi)容:

第六步:配置sftp服務(wù)用戶的訪問權(quán)限

(1)創(chuàng)建sftp用戶的主根目錄[root@Oracle-2~]#mkdir-p/home/sftp[root@Oracle-2~]#chmod-R755/home/sftp

(2)創(chuàng)建sftp用戶組和一個(gè)sftp用戶[root@Oracle-2~]#groupaddsftp[root@Oracle-2~]#useradd-gs/home/sblog[root@Oracle-2~]#passwdblog

(3)權(quán)限設(shè)置設(shè)置/etc/ssh/sshd_config配置文件,通過Chroot限制用戶的根目錄。

[root@Oracle-2~]#vi/etc/ssh/sshd_config#overridedefaultofnosubsystems#注釋掉原來的Subsystem設(shè)置#Subsystemsftp/usr/libexec/s#啟用internal-sftpSubsystems

#Exampleofoverridingsettingsonaper-userbasis#MatchUseranoncvs#X11Forwardingno#AllowTcpForwardingno#ForceCommandcvsserver#限制blog用戶的根目錄MatchUserpayChrootDirectory/home/sX11ForwardingnoAllowTcpForwardingnoForceCommandinternal-sftp

保存退出,重啟sshd服務(wù):[root@Oracle-2~]#servicesshdrestart

(4)測(cè)試sftp權(quán)限控制使用blog用戶嘗試登錄sftp,發(fā)現(xiàn)無法登陸,給出的提示也很難看懂,什么原因呢?

原來要使用Chroot功能實(shí)現(xiàn)用戶根目錄的控制,目錄權(quán)限的設(shè)置非常重要,否則將會(huì)無法登陸。

目錄權(quán)限設(shè)置上要遵循2點(diǎn):ChrootDirectory設(shè)置的目錄權(quán)限與其所有的上級(jí)文件夾權(quán)限,屬主和屬組必須是root;ChrootDirectory設(shè)置的目錄權(quán)限與其所有的上級(jí)文件夾權(quán)限,只有屬主能擁有寫權(quán)限,也就是說權(quán)限最大設(shè)置只能是755。如果不能遵循以上2點(diǎn),即使是該目錄僅屬于某個(gè)用戶,也可能會(huì)影響到所有的SFTP用戶。

設(shè)置目錄的屬主和權(quán)限:[root@Oracle-2~]#chownroot:root/home/sftp/home/s[root@Oracle-2~]#chmod755/home/s

由于上面設(shè)置了目錄的權(quán)限是755,因此所有非root用戶都無法在目錄中寫入文件。我們需要在ChrootDirectory指定的目錄下建立子目錄,重新設(shè)置屬主和權(quán)限。以blog目錄為例:

[root@Oracle-2~]#mkdir/home/s[root@Oracle-2~]#chownblog:s[root@Oracle-2~]#chown775/home/s

設(shè)置完成后,我們?cè)儆胋log用戶登錄sftp,發(fā)現(xiàn)這次可以正常登錄了,并且

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論