文章面向管理员或开发者
绑定文件安全传输协议用户,并据此对您的RedHatQ企业Linux#i和Centos##6服务器执行ChentsSSH为4.9p1或以后创建条件如下:
SFTP用户无法完全访问安全shell
用户关进主目录中 无法破解
从用户角度讲,主目录上载服务器
开发者往往需要绑定Apache文档根或根或其他一些目录以上传或编辑网页内容
文章描述如何使用chroot操作为用户设置主目录并创建主目录内绑定挂载器供外部目录使用绑定挂载是用户访问 Chroot目录外数据的唯一方式无法使用符号链接(Symlink)到Chroot目录外的数据'in-s/home/user/')Chroot操作后文件系统对chroot目录外的任何数据一无所知知识缺失破解语义链路作为一种替代方法,您可以移动文档根目录到用户主目录中,并用符号连接到原地址(例如,'in-s/var/www/html/home/user1/html')
ssh守护程序提供切鲁特操作配置中一些动态变量
'
%u'用户名登录'
微信'$HOME用户登录
sshd对设置权限非常严格其中一个限制是用户无法写入chroot目录顶层必须为chroot目录选择适当的顶层,例如下列设置:
设置 Chroot日志'
微信':用户无法写入主路径需要子文件夹可写入(例如上传)或绑定绑定到另一个位置可写入(例如上传)'/var/www/html')设置 Chroot日志'
/home/chroot':用户可写入主路径,但顶层chroot目录受文件系统权限保护,而非chroot监狱保护
第一个选项使用chroot目录保证安全,而不是依赖文件系统权限第二种选项允许写入主目录,但表示chroot目录与其他用户共享,只有文件系统权限停止信息披露右选项取决于您的需要
###绑定操作后加载SFTP用户
使用下列步骤绑定用户 :
创建组分配用户进主目录
'
#群集软化'创建用户置外壳为'
/bin/false'并分配用户分组'
mkdir-p/home/chroot/$NEWUSER''
#用户add/$NEWUSER-s/bin/false-G软$NEWUSER#注:Homedir相对chroot''
serverwnewuser'更新'
/etc/ssh/sshd_config'文件 :注释下行
华府向文件尾端添加下列行 :
华府测试配置并重加载SSHD
华府
####搭建用户homedirafer Chroot操作
if Chroot板块'
/home/chroot'运行下列命令华府if Chroot板块'
微信'运行命令华府
####创建绑定轨迹除chroot目录外用户需要访问的任何路径
添加下行'
etc/fstab'文件 :华府挂载目录 :
华府
####更新权限
更新文件系统权限目录用户访问计及目前拥有读写访问权的其他用户,以确保您不无意间删除权限可以多种方式完成此步工作,例如改变用户所有制、改变集团所有制或权限或添加文件访问控制列表
下示例显示添加FACL命令
###潜在问题
下列问题可能发生
####目录权限
目录权限可引起下列问题:
SFTP内置root函数对权限非常严格如果权限不够安全,当您尝试登录时会接收下列错误:
华府可能登陆,但无法上传文件在这种情况下,你接收到下列错误:
华府
####SCP不工作
用户类型只对SFTP工作,不对其他协议工作(例如远程外壳(RSH)、安全内存保护(SCP)或文件传送协议(FTP))。