如何限制SSH用戶訪問Linux中指定的目錄
將 SSH 用戶會話限制訪問到特定的目錄內,特別是在 web 服務器上,這樣做有多個原因,但最顯而易見的是為了系統安全。為了鎖定 SSH 用戶在某個目錄,我們可以使用 chroot 機制。
在諸如 Linux 之類的類 Unix 系統中更改 root(chroot)是將特定用戶操作與其他 Linux 系統分離的一種手段;使用稱為 chrooted 監獄 的新根目錄更改當前運行的用戶進程及其子進程的明顯根目錄。
在本教程中,我們將向你展示如何限制 SSH 用戶訪問 Linux 中指定的目錄。注意,我們將以 root 用戶身份運行所有命令,如果你以普通用戶身份登錄服務器,請使用 sudo 命令。
步驟 1:創建 SSH chroot 監獄
1、 使用 mkdir 命令開始創建 chroot 監獄:
- # mkdir -p /home/test
2、 接下來,根據 sshd_config 手冊找到所需的文件,ChrootDirectory 選項指定在身份驗證后要 chroot 到的目錄的路徑名。該目錄必須包含支持用戶會話所必需的文件和目錄。
對于交互式會話,這需要至少一個 shell,通常為 sh 和基本的 /dev 節點,例如 null、zero、stdin、stdout、stderr 和 tty 設備:
- # ls -l /dev/{null,zero,stdin,stdout,stderr,random,tty}
列出所需文件
3、 現在,使用 mknod 命令創建 /dev 下的文件。在下面的命令中,-m 標志用來指定文件權限位,c 意思是字符文件,兩個數字分別是文件指向的主要號和次要號。
- # mkdir -p /home/test/dev/
- # cd /home/test/dev/
- # mknod -m 666 null c 1 3
- # mknod -m 666 tty c 5 0
- # mknod -m 666 zero c 1 5
- # mknod -m 666 random c 1 8
創建 /dev 和所需文件
4、 在此之后,在 chroot 監獄中設置合適的權限。注意 chroot 監獄和它的子目錄以及子文件必須被 root 用戶所有,并且對普通用戶或用戶組不可寫:
- # chown root:root /home/test
- # chmod 0755 /home/test# ls -ld /home/test
設置目錄權限
步驟 2:為 SSH chroot 監獄設置交互式 shell
5、 首先,創建 bin 目錄并復制 /bin/bash 到 bin 中:
- # mkdir -p /home/test/bin
- # cp -v /bin/bash /home/test/bin/
復制文件到 bin 目錄中
6、 現在,識別 bash 所需的共享庫,如下所示復制它們到 lib64 中:
- # ldd /bin/bash# mkdir -p /home/test/lib64
- # cp -v /lib64/{libtinfo.so.5,libdl.so.2,libc.so.6,ld-linux-x86-64.so.2} /home/test/lib64/
復制共享庫文件
步驟 3:創建并配置 SSH 用戶
7、 現在,使用 useradd 命令創建 SSH 用戶,并設置安全密碼:
- # useradd tecmint
- # passwd tecmint
8、 創建 chroot 監獄通用配置目錄 /home/test/etc 并復制已更新的賬號文件(/etc/passwd 和 /etc/group)到這個目錄中:
- # mkdir /home/test/etc
- # cp -vf /etc/{passwd,group} /home/test/etc/
復制密碼文件
注意:每次向系統添加更多 SSH 用戶時,都需要將更新的帳戶文件復制到 /home/test/etc 目錄中。
步驟 4:配置 SSH 來使用 chroot 監獄
9、 現在打開 sshd_config 文件。
- # vi /etc/ssh/sshd_config
在此文件中添加或修改下面這些行。
- # 定義要使用 chroot 監獄的用戶Match User tecmint
- # 指定 chroot 監獄ChrootDirectory /home/test
配置 SSH chroot 監獄
保存文件并退出,重啟 sshd 服務:
- # systemctl restart sshd
- 或者
- # service sshd restart
步驟 5:測試 SSH 的 chroot 監獄
10、 這次,測試 chroot 監獄的設置是否如希望的那樣成功了:
- # ssh tecmint@192.168.0.10-bash-4.1
- $ ls-bash-4.1
- $ date-bash-4.1$ uname
測試 SSH 用戶 chroot 監獄
從上面的截圖上來看,我們可以看到 SSH 用戶被鎖定在了 chroot 監獄中,并且不能使用任何外部命令如(ls、date、uname 等等)。
用戶只可以執行 bash 以及它內置的命令(比如:pwd、history、echo 等等):
- # ssh tecmint@192.168.0.10-bash-4.1$ pwd-bash-4.1
- $ echo "Tecmint - Fastest Growing Linux Site"-bash-4.1$ history
SSH 內置命令
步驟 6: 創建用戶的主目錄并添加 Linux 命令
11、 從前面的步驟中,我們可以看到用戶被鎖定在了 root 目錄,我們可以為 SSH 用戶創建一個主目錄(以及為所有將來的用戶這么做):
- # mkdir -p /home/test/home/tecmint
- # chown -R tecmint:tecmint /home/test/home/tecmint
- # chmod -R 0700 /home/test/home/tecmint
創建 SSH 用戶主目錄
12、 接下來,在 bin 目錄中安裝幾個用戶命令,如 ls、date、mkdir:
- # cp -v /bin/ls /home/test/bin/
- # cp -v /bin/date /home/test/bin/
- # cp -v /bin/mkdir /home/test/bin/
向 SSH 用戶添加命令
13、 接下來,檢查上面命令的共享庫并將它們移到 chroot 監獄的庫目錄中:
- # ldd /bin/ls
- # cp -v /lib64/{libselinux.so.1,libcap.so.2,libacl.so.1,libc.so.6,libpcre.so.1,libdl.so.2,ld-linux-x86-64.so.2,libattr.so.1,libpthread.so.0} /home/test/lib64/
復制共享庫
步驟 7:測試 sftp 的 用 chroot 監獄
14、 ***用 sftp 做一個測試;測試你先前安裝的命令是否可用。
在 /etc/ssh/sshd_config 中添加下面的行:
- # 啟用 sftp 的 chroot 監獄 ForceCommand internal-sftp
保存并退出文件。接下來重啟 sshd 服務:
- # systemctl restart sshd或者# service sshd restart
15、 現在使用 ssh 測試,你會得到下面的錯誤:
- # ssh tecmint@192.168.0.10
測試 SSH Chroot 監獄
試下使用 sftp:
- # sftp tecmint@192.168.0.10
測試 sFTP SSH 用戶
建議閱讀: 使用 chroot 監獄將 sftp 用戶限制在主目錄中。
就是這樣了!在文本中,我們向你展示了如何在 Linux 中限制 ssh 用戶到指定的目錄中( chroot 監獄)。請在評論欄中給我們提供你的想法。
作者簡介:
Aaron Kili 是一個 Linux 及 F.O.S.S 熱衷者,即將成為 Linux 系統管理員、web 開發者,目前是 TecMint 的內容創作者,他喜歡用電腦工作,并堅信分享知識。
