憑證應用專業評鑑論壇

 找回密碼
 立即註冊
搜索
查看: 1066|回復: 0

如何在Linux上僅開放sftp登入,不開放ssh登入(2/3)

[複製鏈接]

10

主題

10

帖子

77

積分

註冊會員

Rank: 2

積分
77
發表於 2015-12-15 16:06:04 | 顯示全部樓層 |閱讀模式
本帖最後由 Gilbert 於 2015-12-24 11:20 編輯

1. 關閉SELinux (1/3)
2. 設定群組限定 (2/3)
3. 設定帳號限定 (3/3)
這篇是說明第二個"設定群組限定 (2/3)"


例一:公司其他人連到該server都只能使用sftp,只有系統管理員可以使用ssh登入。
所以將其他人都關掉到群組 sftp_users ,只要是該群組的使用者都無法使用ssh登入。
各使用者登入到自己的家目錄,但只能傳檔到其下的incoming。

步驟如下:
(一) ssh設定
1. ssh設定檔案在 /etc/ssh 的 sshd_config
2. 將設定檔尾段的內容做修改
Subsystem       sftp    internal-sftp

Match Group sftp_users
        X11Forwarding no
        AllowTcpForwarding no
        ChrootDirectory %h
        ForceCommand internal-sftp
3. 重起ssh服務
[root@localhost ~]# service sshd restart

(二) 將使用者關聯至群組 sftp_users
使用者 test,先cat /etc/passwd可看到
test:x:501:501::/home/test:/bin/bash
家目錄 /home/test ,所屬群組501

1. 新增一般群組 sftp_users
[root@localhost ~]# groupadd sftp_users
2. 使用者test 關聯至 internal-sftp
[root@localhost ~]# usermod -a -G sftp_users test
3. 檢視群組與帳號關聯
[root@localhost ~]# cat /etc/group
test:x:501:
sftp_users:x:502:test

(三)設定登入目錄權限
登入家目錄的權限必須是755,owner必須改成是root,始可登入家目錄。
但因為目錄owner 是root且權限是755則不能上傳寫檔,所以必需在裡面
建一個incomiing給自己(test)讀寫權限。
1. 建立incoming
[root@localhost /]# cd /home
[root@localhost home]# su test
[test@localhost home]$ cd test
[test@localhost ~]$ mkdir incoming

2. 修改家目錄權限
[test@localhost ~]$ su root
[root@localhost test]# cd /home
[root@localhost home]# chown root test
[root@localhost home]# chmod 755 test

設定完後已完成可以做sftp測試,登入後的目錄將會在/home/test下,且無法往上層走。


例二:公司其他人連到該server都只能使用sftp,只有系統管理員可以使用ssh登入。
所以將其他人都關掉到群組 sftp_users ,只要是該群組的使用者都無法使用ssh登入。
各使用者登入到/sftp/自己的帳號名稱,但只能傳檔到其下的incoming。

步驟基本上都同例一,僅有(一)ssh的設定上有所不同,如下
(一) ssh設定
1. ssh設定檔案在 /etc/ssh 的 sshd_config
2. 將設定檔尾段的內容做修改
Subsystem       sftp    internal-sftp

Match Group sftp_users
        X11Forwarding no
        AllowTcpForwarding no
        ChrootDirectory /sftp/%u
        ForceCommand internal-sftp
3. 重起ssh服務
[root@localhost ~]# service sshd restart

回復

使用道具 舉報

您需要登錄後才可以回帖 登錄 | 立即註冊

本版積分規則

憑證專業評鑑網|Certificate Authority Forum  

JS of wanmeiff.com and vcpic.com Please keep this copyright information, respect of, thank you!JS of wanmeiff.com and vcpic.com Please keep this copyright information, respect of, thank you!

網站版權所有:CAForum Group(2013-2014)

使用 Dizcus X3.1.

快速回復 返回頂部 返回列表