安卓系统

如何设置sftp chroot监狱

【GCP谷歌云6】实战篇 谷歌云第三方连接SSH/SFTP[Wireguard/TunSafe]VPN配置文件(.conf)谷歌云VM实例vps如何第三方连接与下载?科学上网,翻墙梯子

【GCP谷歌云6】实战篇 谷歌云第三方连接SSH/SFTP[Wireguard/TunSafe]VPN配置文件(.conf)谷歌云VM实例vps如何第三方连接与下载?科学上网,翻墙梯子

目录:

Anonim

在本教程中,我们将说明如何设置SFTP Chroot Jail环境,该环境将限制用户进入其主目录。 用户将仅具有SFTP访问,SSH访问将被禁用。 这些说明适用于任何现代Linux发行版,包括Ubuntu,CentOS,Debian和Fedora。

创建一个SFTP组

与其为每个用户分别配置OpenSSH服务器,我们将创建一个新组并将所有chroot用户添加到该组中。

运行以下 groupadd 命令以创建 sftponly 用户组:

sudo groupadd sftponly 您可以根据需要命名组。

将用户添加到SFTP组

下一步是将要限制的用户添加到 sftponly 组。

如果这是一个新设置,并且该用户不存在,则可以通过键入以下内容来创建新的用户帐户:

sudo useradd -g sftponly -s /bin/false -m -d /home/username username

  • -g sftponly 选项会将用户添加到sftponly组。- -s /bin/false 选项设置用户的登录shell。 通过将登录shell设置为 /bin/false ,用户将无法通过SSH登录服务器。- -m -d /home/username 选项告诉useradd创建用户主目录。

为新创建的用户设置一个强密码:

sudo passwd username

否则,如果您要限制的用户已经存在,则将该用户添加到 sftponly 组并更改用户的shell:

sudo usermod -G sftponly -s /bin/false username2

用户主目录必须由root拥有,并具有 755 权限:

sudo chown root: /home/username sudo chmod 755 /home/username

由于用户的主目录归root用户所有,因此这些用户将无法在其主目录中创建文件和目录。 如果用户家中没有目录,则需要创建用户将拥有完全访问权限的新目录。 例如,您可以创建以下目录:

sudo mkdir /home/username/{public_html, uploads} sudo chmod 755 /home/username/{public_html, uploads} sudo chown username:sftponly /home/username/{public_html, uploads}

如果Web应用程序将用户的 public_html 目录用作文档根目录,则这些更改可能会导致权限问题。 例如,如果您正在运行WordPress,则需要创建一个PHP池,该池将以拥有文件的用户身份运行,并将站点erver添加到 sftponly 组。

配置SSH

SFTP是SSH的子系统,并支持所有SSH身份验证机制。

使用文本编辑器打开SSH配置文件 /etc/ssh/sshd_config

sudo nano /etc/ssh/sshd_config

搜索通常以 Subsystem sftp 开头的行,通常在文件末尾。 如果该行以 # 开头,请删除 # 并将其修改为如下所示:

/ etc / ssh / sshd_config

Subsystem sftp internal-sftp

在文件末尾,以下设置块:

/ etc / ssh / sshd_config

Match Group sftponly ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no X11Forwarding no

ChrootDirectory 指令指定chroot目录的路径。 %h 表示用户主目录。 该目录必须由root用户拥有,并且不能由任何其他用户或组写入。

修改SSH配置文件时要格外小心。 错误的配置可能会导致SSH服务无法启动。

完成后,保存文件并重新启动SSH服务以应用更改:

sudo systemctl restart ssh

在CentOS和Fedora中,ssh服务名为 sshd

sudo systemctl restart sshd

测试配置

现在,您已经配置了SFTP chroot,您可以尝试使用chroot用户的凭据通过SFTP登录到远程计算机。 在大多数情况下,您将使用桌面SFTP客户端(例如FileZilla),但在此示例中,我们将使用sftp命令。

使用sftp命令以及远程服务器用户名以及服务器IP地址或域名来打开SFTP连接:

sftp [email protected]

系统将提示您输入用户密码。 连接后,远程服务器将显示一条确认消息和 sftp> 提示符:

[email protected]'s password: sftp>

运行 pwd 命令,如下所示,如果一切正常,命令应返回 /

sftp> pwd Remote working directory: /

您还可以使用 ls 命令列出远程文件和目录,并且应该看到我们先前创建的目录:

sftp> ls public_html uploads

结论

在本教程中,您学习了如何在Linux服务器上设置SFTP Chroot Jail环境并限制用户对其主目录的访问。

默认情况下,SSH侦听端口22。更改默认SSH端口可通过降低自动攻击的风险为服务器增加一层额外的安全保护。 您可能还需要设置基于SSH密钥的身份验证并连接到服务器,而无需输入密码。

ssh sftp安全