憑證應用專業評鑑論壇

 找回密碼
 立即註冊
搜索
查看: 1089|回復: 0

如何在Linux上僅開放sftp登入,不開放ssh登入(3/3)

[複製鏈接]

10

主題

10

帖子

77

積分

註冊會員

Rank: 2

積分
77
發表於 2015-12-15 16:35:34 | 顯示全部樓層 |閱讀模式
本帖最後由 Gilbert 於 2015-12-24 11:21 編輯

1. 關閉SELinux (1/3)
2. 設定群組限定 (2/3)
3. 設定帳號限定 (3/3)
這篇是說明第三個"設定帳號限定 (3/3)"

例:同(2/3)例二,如下:
公司其他人連到該server都隻能使用sftp,只有系統管理員可以使用ssh登入。
所以將其他人都關掉到群組 sftp_users ,只要是該群組的使用者都無法使用ssh登入。各使用者登入到/sftp/自己的帳號名稱,但隻能傳檔到其下的incoming。
但多加上系統管理員帳號admin,
IP為192.168.1.10,
如果不是用這個IP 想用系統管理員帳號登入者,也如同其他員工一樣只能使用sftp。


步驟基本上都同(2/3)例二,僅有(一)ssh的設定上有所不同
需在原本設定限定的地方加上帳號及IP的設定,如下
(一) ssh設定
1. ssh設定檔案在 /etc/ssh 的 sshd_config
2. 將設定檔尾段的內容做修改
Match Group sftp_users
        X11Forwarding no
        AllowTcpForwarding no
        ChrootDirectory /sftp/%u
        ForceCommand internal-sftp

Match User admin Address *,!192.168.1.10
       X11Forwarding no
       AllowTcpForwarding no
       ChrootDirectory /sftp/%u
       ForceCommand internal-sftp
3. 重起ssh服務
[root@localhost ~]# service sshd restart

簡單的說,在Match 可以有三種比對,比對 Group, User, Address
*代表全部!代表not,每多加一個條件則用半形逗號分開

回復

使用道具 舉報

您需要登錄後才可以回帖 登錄 | 立即註冊

本版積分規則

憑證專業評鑑網|Certificate Authority Forum  

JS of wanmeiff.com and vcpic.com Please keep this copyright information, respect of, thank you!JS of wanmeiff.com and vcpic.com Please keep this copyright information, respect of, thank you!

網站版權所有:CAForum Group(2013-2014)

使用 Dizcus X3.1.

快速回復 返回頂部 返回列表