将 SSH 使用者会话限制访问到特定的目录内,特别是在 web 站群服务器上,这样做有多个原因,但最显而易见的是为了系统安全。为了锁定 SSH 使用者在某个目录,我们可以使用 chroot 机制。
在诸如 Linux 之类的类 Unix 系统中更改 root(chroot)是将特定使用者操作与其他 Linux 系统分离的一种手段;使用称为 chrooted 监狱 的新根目录更改当前执行的使用者程序及其子程序的明显根目录。
在本教程中,我们将向你展示如何限制 SSH 使用者访问 Linux 中指定的目录。注意,我们将以 root 使用者身份执行所有命令,如果你以普通使用者身份登入站群服务器,请使用 sudo 命令。
步骤 1:建立 SSH chroot 监狱
1 、 使用 mkdir 命令开始建立 chroot 监狱:
# mkdir -p /home/test
2 、 接下来,根据 sshd_config 手册找到所需的档案,ChrootDirectory 选项指定在身份验证后要 chroot 到的目录的路径名。该目录必须包含支援使用者会话所必需的档案和目录。
对于互动式会话,这需要至少一个 shell,通常为 sh 和基本的 /dev 节点,例如 null 、 zero 、 stdin 、 stdout 、 stderr 和 tty 装置:
# ls -l /dev/{null,zero,stdin,stdout,stderr,random,tty}
列出所需档案
3 、 现在,使用 mknod 命令建立 /dev 下的档案。在下面的命令中,-m 标志用来指定档案许可权位,c 意思是字元档案,两个数字分别是档案指向的主要号和次要号。
# mkdir -p /home/test/dev/
# cd /home/test/dev/
# mknod -m 666 null c 1 3
# mknod -m 666 tty c 5 0
# mknod -m 666 zero c 1 5
# mknod -m 666 random c 1 8
建立 /dev 和所需档案
4 、 在此之后,在 chroot 监狱中设定合适的许可权。注意 chroot 监狱和它的子目录以及子档案必须被 root 使用者所有,并且对普通使用者或使用者组不可写:
# chown root:root /home/test
# chmod 0755 /home/test
# ls -ld /home/test
设定目录许可权
步骤 2:为 SSH chroot 监狱设定互动式 shell
5 、 首先,建立 bin 目录并复制 /bin/bash 到 bin 中:
# mkdir -p /home/test/bin
# cp -v /bin/bash /home/test/bin/
复制档案到 bin 目录中
6 、 现在,识别 bash 所需的共享库,如下所示复制它们到 lib64 中:
# ldd /bin/bash
# mkdir -p /home/test/lib64
# cp -v /lib64/{libtinfo.so.5,libdl.so.2,libc.so.6,ld-linux-x86-64.so.2} /home/test/lib64/
复制共享库档案
步骤 3:建立并配置 SSH 使用者
7 、 现在,使用 useradd 命令建立 SSH 使用者,并设定安全密码:
# useradd tecmint
# passwd tecmint
8 、 建立 chroot 监狱通用配置目录 /home/test/etc 并复制已更新的账号档案(/etc/passwd 和 /etc/group)到这个目录中:
# mkdir /home/test/etc
# cp -vf /etc/{passwd,group} /home/test/etc/
复制密码档案
注意:每次向系统新增更多 SSH 使用者时,都需要将更新的帐户档案复制到 /home/test/etc 目录中。
步骤 4:配置 SSH 来使用 chroot 监狱
9 、 现在开启 sshd_config 档案。
# vi /etc/ssh/sshd_config
在此档案中新增或修改下面这些行。
# 定义要使用 chroot 监狱的使用者
Match User tecmint
# 指定 chroot 监狱
ChrootDirectory /home/test
配置 SSH chroot 监狱
储存档案并退出,重启 sshd 服务:
# systemctl restart sshd
或者
# service sshd restart
步骤 5:测试 SSH 的 chroot 监狱
10 、 这次,测试 chroot 监狱的设定是否如希望的那样成功了:
# ssh tecmint@192.168.0.10
-bash-4.1$ ls
-bash-4.1$ date
-bash-4.1$ uname
测试 SSH 使用者 chroot 监狱
从上面的截图上来看,我们可以看到 SSH 使用者被锁定在了 chroot 监狱中,并且不能使用任何外部命令如(ls 、 date 、 uname 等等)。
使用者只可以执行 bash 以及它内建的命令(比如:pwd 、 history 、 echo 等等):
# ssh tecmint@192.168.0.10
-bash-4.1$ pwd
-bash-4.1$ echo “Tecmint – Fastest Growing Linux Site”
-bash-4.1$ history
SSH 内建命令
步骤 6: 建立使用者的主目录并新增 Linux 命令
11 、 从前面的步骤中,我们可以看到使用者被锁定在了 root 目录,我们可以为 SSH 使用者建立一个主目录(以及为所有将来的使用者这么做):
# mkdir -p /home/test/home/tecmint
# chown -R tecmint:tecmint /home/test/home/tecmint
# chmod -R 0700 /home/test/home/tecmint
建立 SSH 使用者主目录
12 、 接下来,在 bin 目录中安装几个使用者命令,如 ls 、 date 、 mkdir:
# cp -v /bin/ls /home/test/bin/
# cp -v /bin/date /home/test/bin/
# cp -v /bin/mkdir /home/test/bin/
向 SSH 使用者新增命令
13 、 接下来,检查上面命令的共享库并将它们移到 chroot 监狱的库目录中:
# ldd /bin/ls
# cp -v /lib64/{libselinux.so.1,libcap.so.2,libacl.so.1,libc.so.6,libpcre.so.1,libdl.so.2,ld-linux-x86-64.so.2,libattr.so.1,libpthread.so.0} /home/test/lib64/
复制共享库
步骤 7:测试 sftp 的 用 chroot 监狱
14 、 最后用 sftp 做一个测试;测试你先前安装的命令是否可用。
在 /etc/ssh/sshd_config 中新增下面的行:
# 启用 sftp 的 chroot 监狱
ForceCommand internal-sftp
储存并退出档案。接下来重启 sshd 服务:
# systemctl restart sshd
或者
# service sshd restart
15 、 现在使用 ssh 测试,你会得到下面的错误:
# ssh tecmint@192.168.0.10
测试 SSH Chroot 监狱
试下使用 sftp:
# sftp tecmint@192.168.0.10
测试 sFTP SSH 使用者
建议阅读: 使用 chroot 监狱将 sftp 使用者限制在主目录中。
就是这样了!在文字中,我们向你展示了如何在 Linux 中限制 ssh 使用者到指定的目录中(chroot 监狱)。请在评论栏中给我们提供你的想法。
原文连结:https://linux.cn/article-8313-1.html?utm_source=index&utm_medium=more