sftp服务限制用户登录家目录

标签: sftp 服务 限制 | 发表时间:2014-08-15 18:48 | 作者:stephen830
出处:http://www.iteye.com

 

 

              sftp服务限制用户登录家目录

        sftp和ftp是两种协议是不同的,sftp是ssh内含的协议,只要sshd服务器启动了,它就可用,它本身不需要ftp服务器启动。

1.查看openssh软件版本,想sftp服务用户只能访问特定的文件目录,版本需要4.8以上

?
1
2
3
4
[root@localhost ftp ] # rpm -qa | grep openssh
openssh-server-5.3p1-81.el6_3.x86_64
openssh-5.3p1-81.el6_3.x86_64
openssh-clients-5.3p1-81.el6_3.x86_64

2.新增用户,限制用户只能通过sftp访问

?
1
[root@localhost ftp ] # useradd -m -d /opt/ftp/dave -s /sbin/nologin dave

3.限制用户通过sftp登录进来时只能进入主目录,修改/etc/ssh/sshd_config文件

 

?
1
[root@localhost ftp ] # vim /etc/ssh/sshd_config
?
1
2
3
4
5
6
7
#Subsystem  sftp    /usr/libexec/openssh/sftp-server
Subsystem sftp internal- sftp
Match User dave
          ChrootDirectory /opt/ftp/dave
          X11Forwarding no
          AllowTcpForwarding no
          ForceCommand internal- sftp

重启ssh

4.测试访问

 

?
1
2
3
4
5
root@10.1.1.200: test # sftp -oPort=22 dave@10.1.6.175
Connecting to 10.1.6.175...
dave@10.1.6.175's password:
Read from remote host 10.1.6.175: Connection reset by peer
Couldn't read packet: Connection reset by peer

发现连接不上,查看日志

 

?
1
2
3
[root@localhost ftp ] # tail /var/log/messages
Jan  6 11:41:41 localhost sshd[4907]: fatal: bad ownership or modes for chroot directory "/opt/ftp/dave"
Jan  6 11:41:41 localhost sshd[4905]: pam_unix(sshd:session): session closed for user dave

解决方法:

目录权限设置上要遵循2点:

ChrootDirectory设置的目录权限及其所有的上级文件夹权限,属主和属组必须是root;

ChrootDirectory设置的目录权限及其所有的上级文件夹权限,只有属主能拥有写权限,权限最大设置只能是755。

如果不能遵循以上2点,即使是该目录仅属于某个用户,也可能会影响到所有的SFTP用户。

?
1
2
3
4
5
6
7
8
[root@localhost ftp ] # ll
total 4
drwxr-xr-x 3 dave dave 4096 Jan  5 13:06 dave
[root@localhost ftp ] # chown root:root dave
[root@localhost ftp ] # chmod 755 dave
[root@localhost ftp ] # ll
total 4
drwxr-xr-x 3 root root 4096 Jan  5 13:06 dave

然后在测试通过

 

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
root@10.1.1.200: test # sftp -oPort=22 dave@10.1.6.175
Connecting to 10.1.6.175...
dave@10.1.6.175's password:
sftp > ls
test 
sftp > cd ..
sftp > ls
test 
sftp > cd test
sftp > ls
1.txt 
sftp > get 1.txt
Fetching /test/1 .txt to 1.txt
/test/1 .txt

 

可以看到已经限制用户在家目录,同时该用户也不能登录该机器。 



已有 0 人发表留言,猛击->> 这里<<-参与讨论


ITeye推荐



相关 [sftp 服务 限制] 推荐:

sftp服务限制用户登录家目录

- - 操作系统 - ITeye博客
              sftp服务限制用户登录家目录.         sftp和ftp是两种协议是不同的,sftp是ssh内含的协议,只要sshd服务器启动了,它就可用,它本身不需要ftp服务器启动. 1.查看openssh软件版本,想sftp服务用户只能访问特定的文件目录,版本需要4.8以上.

java程序实现对sftp服务器的操作

- - Java - 编程语言 - ITeye博客
java程序实现对sftp服务器的操作. FTP服务器中,如果使用的是FTP协议,则用户名和密码是以明文方式传输的,如果是以SFTP 的方式,就会通过加密的方式传输. 如果服务器中的用户增加了公钥的设置,则要求客户端要有相对应的私钥. 公/私钥的产生方法可见:http://www.jcraft.com/jsch/examples/KeyGen.java.html,值得注意的是,可以产生用密码的公私钥和无密码的公私钥.

ssh sftp配置及权限设置

- - 操作系统 - ITeye博客
从技术角度来分析,几个要求:. 1、从安全方面看,sftp会更安全一点. 2、线上服务器提供在线服务,对用户需要控制,只能让用户在自己的home目录下活动. 3、用户只能使用sftp,不能ssh到机器进行操作. 提供sftp服务,可以用系统自带的internal-sftp,也可以使用vsftpd,这里需求不多,直接选用internal-sftp.

OpenSSH SFTP远程溢出漏洞

- - C1G军火库
近日曝出OpenSSH SFTP 远程溢出漏洞. OpenSSH服务器中如果OpenSSH服务器中没有配置”ChrootDirectory”,普通用户就可以访问所有文件系统的资源,包括 /proc,在>=2.6.x的Linux内核上,/proc/self/maps会显示你的内存布局,/proc/self/mem可以让你任意在当前进程上下文中读写,而综合两者特性则可以造成远程溢出.

FTP/SFTP/SSH的一些软件包

- - 开源软件 - ITeye博客
IIS,Windows自带,可以到[打开或关闭windows功能]里选择IIS,进行安装. freeSSHd ,支持FTP/SFTP/SSH. OpenSSH这个是Linux上的SSH标配,Windows上则可以通过cygwin的方式来安装. FileZilla,支持SFTP. WinSCP,支持SFTP.

JSch - Java实现的SFTP(文件上传详解篇)

- - 编程语言 - ITeye博客
JSch是Java Secure Channel的缩写. JSch是一个SSH2的纯Java实现. 它允许你连接到一个SSH服务器,并且可以使用端口转发,X11转发,文件传输等,当然你也可以集成它的功能到你自己的应用程序.   本文只介绍如何使用JSch实现的SFTP功能.   SFTP是Secure File Transfer Protocol的缩写,安全文件传送协议.

Dropmysite 以 FTP/SFTP 自動雲端備份網站,再也不怕資料遺失

- votis - 免費資源網路社群
Dropmysite 提供免費的 FTP 備份服務,如果你喜歡自己架設網站,又怕網站空間不夠穩定而造成資料遺失的話,這項服務可以幫你自動備份伺服器裡的資料. 目前 Dropmysite 提供免費 2GB 的備份空間,付費可以升級 50GB 或 100GB ,對於一般網站備份使用已經綽綽有餘,使用者可以自訂備份的週期、要備份的 FTP 路徑,Dropmysite 就會自動建立排程備份,需要時亦可以從網站上將備份檔案下載到電腦裡.

杜绝假死,Tomcat容器做到自我保护,设置最大连接数(服务限流:tomcat请求数限制) - Ruthless - 博客园

- -
为了确保服务不会被过多的http长连接压垮,我们需要对tomcat设定个最大连接数,超过这个连接数的请求会拒绝,让其负载到其它机器. 达到保护自己的同时起到连接数负载均衡的作用. 一、解决方案:修改tomcat配置文件,修改最大连接数(增大). 修改server.xml配置文件,Connector节点中增加acceptCount和maxThreads这两个属性的值,并且使acceptCount大于等于maxThreads:.

限制与自由

- zx - 左岸读书_blog
无需仔细观察,就会发现,你我的周围充斥这样的声音:. “我之所以没成功,是因为我的出生的时代不好,经过30年的改革开放,到了现在这个阶段,机会都饱和了. 我之所以没成功,是因为我的家庭比较普通,如果我生在比尔盖茨或者巴菲特的家里,我绝对会成功. 我之所以没成功,是因为我的父母把我生得不漂亮或者不帅,不然我有机会成为章子怡、王力宏之类的.