怎么限制SSH用戶訪問Linux中指定的目錄

這篇文章主要介紹“怎么限制SSH用戶訪問Linux中指定的目錄”，在日常操作中，相信很多人在怎么限制SSH用戶訪問Linux中指定的目錄問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”怎么限制SSH用戶訪問Linux中指定的目錄”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

將 SSH 用戶會話限制訪問到特定的目錄內(nèi)，特別是在 web 服務器上，這樣做有多個原因，但最顯而易見的是為了系統(tǒng)安全。為了鎖定 SSH  用戶在某個目錄，我們可以使用 chroot 機制。

在諸如 Linux 之類的類 Unix 系統(tǒng)中更改 root(chroot)是將特定用戶操作與其他 Linux 系統(tǒng)分離的一種手段;使用稱為  chrooted 監(jiān)獄 的新根目錄更改當前運行的用戶進程及其子進程的明顯根目錄。

在本教程中，我們將向你展示如何限制 SSH 用戶訪問 Linux 中指定的目錄。注意，我們將以 root  用戶身份運行所有命令，如果你以普通用戶身份登錄服務器，請使用 sudo 命令。

步驟 1：創(chuàng)建 SSH chroot 監(jiān)獄

1、 使用 mkdir 命令開始創(chuàng)建 chroot 監(jiān)獄：

# mkdir -p /home/test

2、 接下來，根據(jù) sshd_config 手冊找到所需的文件，ChrootDirectory 選項指定在身份驗證后要 chroot  到的目錄的路徑名。該目錄必須包含支持用戶會話所必需的文件和目錄。

對于交互式會話，這需要至少一個 shell，通常為 sh 和基本的 /dev 節(jié)點，例如 null、zero、stdin、stdout、stderr 和  tty 設備：

# ls -l /dev/{null,zero,stdin,stdout,stderr,random,tty}

列出所需文件

3、 現(xiàn)在，使用 mknod 命令創(chuàng)建 /dev 下的文件。在下面的命令中，-m 標志用來指定文件權(quán)限位，c  意思是字符文件，兩個數(shù)字分別是文件指向的主要號和次要號。

# mkdir -p /home/test/dev/  # cd /home/test/dev/ # mknod -m 666 null c 1 3 # mknod -m 666 tty c 5 0 # mknod -m 666 zero c 1 5 # mknod -m 666 random c 1 8

創(chuàng)建 /dev 和所需文件

4、 在此之后，在 chroot 監(jiān)獄中設置合適的權(quán)限。注意 chroot 監(jiān)獄和它的子目錄以及子文件必須被 root  用戶所有，并且對普通用戶或用戶組不可寫：

# chown root:root /home/test # chmod 0755 /home/test# ls -ld /home/test

設置目錄權(quán)限

步驟 2：為 SSH chroot 監(jiān)獄設置交互式 shell

5、 首先，創(chuàng)建 bin 目錄并復制 /bin/bash 到 bin 中：

# mkdir -p /home/test/bin # cp -v /bin/bash /home/test/bin/

復制文件到 bin 目錄中

6、 現(xiàn)在，識別 bash 所需的共享庫，如下所示復制它們到 lib64 中：

# ldd /bin/bash# mkdir -p /home/test/lib64 # cp -v /lib64/{libtinfo.so.5,libdl.so.2,libc.so.6,ld-linux-x86-64.so.2} /home/test/lib64/

復制共享庫文件

步驟 3：創(chuàng)建并配置 SSH 用戶

7、 現(xiàn)在，使用 useradd 命令創(chuàng)建 SSH 用戶，并設置安全密碼：

# useradd tecmint # passwd tecmint

8、 創(chuàng)建 chroot 監(jiān)獄通用配置目錄 /home/test/etc 并復制已更新的賬號文件(/etc/passwd 和  /etc/group)到這個目錄中：

# mkdir /home/test/etc # cp -vf /etc/{passwd,group} /home/test/etc/

復制密碼文件

注意：每次向系統(tǒng)添加更多 SSH 用戶時，都需要將更新的帳戶文件復制到 /home/test/etc 目錄中。

步驟 4：配置 SSH 來使用 chroot 監(jiān)獄

9、 現(xiàn)在打開 sshd_config 文件。

# vi /etc/ssh/sshd_config

在此文件中添加或修改下面這些行。

# 定義要使用 chroot 監(jiān)獄的用戶Match User tecmint # 指定 chroot 監(jiān)獄ChrootDirectory /home/test

配置 SSH chroot 監(jiān)獄

保存文件并退出，重啟 sshd 服務：

# systemctl restart sshd 或者 # service sshd restart

步驟 5：測試 SSH 的 chroot 監(jiān)獄

10、 這次，測試 chroot 監(jiān)獄的設置是否如希望的那樣成功了：

# ssh tecmint@192.168.0.10-bash-4.1 $ ls-bash-4.1 $ date-bash-4.1$ uname

測試 SSH 用戶 chroot 監(jiān)獄

從上面的截圖上來看，我們可以看到 SSH 用戶被鎖定在了 chroot 監(jiān)獄中，并且不能使用任何外部命令如(ls、date、uname 等等)。

用戶只可以執(zhí)行 bash 以及它內(nèi)置的命令(比如：pwd、history、echo 等等)：

# ssh tecmint@192.168.0.10-bash-4.1$ pwd-bash-4.1 $ echo "Tecmint - Fastest Growing Linux Site"-bash-4.1$ history

SSH 內(nèi)置命令

步驟 6： 創(chuàng)建用戶的主目錄并添加 Linux 命令

11、 從前面的步驟中，我們可以看到用戶被鎖定在了 root 目錄，我們可以為 SSH 用戶創(chuàng)建一個主目錄(以及為所有將來的用戶這么做)：

# mkdir -p /home/test/home/tecmint # chown -R tecmint:tecmint /home/test/home/tecmint # chmod -R 0700 /home/test/home/tecmint

創(chuàng)建 SSH 用戶主目錄

12、 接下來，在 bin 目錄中安裝幾個用戶命令，如 ls、date、mkdir：

# cp -v /bin/ls /home/test/bin/ # cp -v /bin/date /home/test/bin/ # cp -v /bin/mkdir /home/test/bin/

向 SSH 用戶添加命令

13、 接下來，檢查上面命令的共享庫并將它們移到 chroot 監(jiān)獄的庫目錄中：

# ldd /bin/ls # cp -v /lib64/{libselinux.so.1,libcap.so.2,libacl.so.1,libc.so.6,libpcre.so.1,libdl.so.2,ld-linux-x86-64.so.2,libattr.so.1,libpthread.so.0} /home/test/lib64/

復制共享庫

步驟 7：測試 sftp 的 用 chroot 監(jiān)獄

14、 ***用 sftp 做一個測試;測試你先前安裝的命令是否可用。

在 /etc/ssh/sshd_config 中添加下面的行：

# 啟用 sftp 的 chroot 監(jiān)獄 ForceCommand internal-sftp

保存并退出文件。接下來重啟 sshd 服務：

# systemctl restart sshd或者# service sshd restart

15、 現(xiàn)在使用 ssh 測試，你會得到下面的錯誤：

# ssh tecmint@192.168.0.10

測試 SSH Chroot 監(jiān)獄

試下使用 sftp：

# sftp tecmint@192.168.0.10

測試 sFTP SSH 用戶

到此，關于“怎么限制SSH用戶訪問Linux中指定的目錄”的學習就結(jié)束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續(xù)學習更多相關知識，請繼續(xù)關注億速云網(wǎng)站，小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>