《2022年Sftp服务限制用户访问权限.pdf》由会员分享,可在线阅读,更多相关《2022年Sftp服务限制用户访问权限.pdf(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精心整理Sftp 服务限制用户访问权限Sftp 服务要想限制用户的访问权限(即sftp 服务用户只能访问特定的文件目录),那么系统的OpenSSH服务软件的版本必须是4.8p1 及以上版本才支持,如果低于该版本,就要首先升级OpenSSH版本。第一步:查看 OpenSSH 软件版rootOracle-2#rpm-qa|grepssh openssh-4.3p2-36.el5 openssh-clients-4.3p2-36.el5 openssh-server-4.3p2-36.el5 openssh-askpass-4.3p2-36.el5 或者:rootOracle-2#ssh-V 发现操
2、作系统的OpenSSH软件是 4.3p2,低于 4.8p1 版本,所以需要做升级。第二步:下载最新的OpenSSH软件OpenSSH是免费的,可以到官网上进行下载:当前最高版本是OpenSSH6.0 ,我们就可以下载该版本:下载的时候,我们需要看一看官方安装指导文档Installationinstructions ,里面有安装该版本的注意事项和安装步骤说明,最好仔细阅读一下。第三步:确认 OpenSSH 软件安装条件在官方安装指导文档中提到,安装OpenSSH6.0需要具备两个条件:YouwillneedworkinginstallationsofZlibandOpenSSL. OpenSSL
3、0.9.6orgreater: 上面指出了, OpenSSH6.0安装所依赖的两款软件Zlib 和 OpenSSL的最低版本,如果服务器的软件版本不符合要求,就要先升级该两款软件。首先我们需要确认服务器上Zlib 和 OpenSSL软件的版本:rootOracle-2#rpm-qa|grep-izlib perl-Compress-Zlib-1.42-1.fc6 perl-IO-Zlib-1.04-4.2.1 rootOracle-2#rpm-qa|grep-iopenssl 可以看到, Zlib 的版本是 1.42,OpenSSL的版本是 0.9.8,满足 OpenSSH6.0安装的要求。第
4、四步:卸载 OpenSSH 软件安装之前,有下面几个工作需要完成:(1)停 sshd 服务rootOracle-2#servicesshdstop Stoppingsshd:OK (2)备份 sshd 文件精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 1 页,共 4 页 - - - - - - - - - - 精心整理说明:在卸载之前需要将/etc/init.d/sshd文件做个备份, 安装完成后, 需要再将备份的sshd 文件拷贝到 /etc/init.d/目录中,这样可以保证升级完成后可以继续使用s
5、ervicesshdstart/stop/restart的方式管理sshd 服务,否则将不可使用。rootOracle-2#cp/etc/init.d/sshd/root/sshd (3)卸载服务器上已经存在的OpenSSH软件卸载 OpenSSH ,通过 rpm-qa 命名查询出需要卸载的rpm 软件包,再用rpm-e 命令卸载:查询:rootOracle-2#rpm-qa|grep-iopenssh openssh-4.3p2-36.el5 openssh-clients-4.3p2-36.el5 openssh-server-4.3p2-36.el5 openssh-askpass-4.
6、3p2-36.el5 卸载:rootOracle-2#rpm-eopenssh-4.3p2-36.el5-deps rootOracle-2#rpm-eopenssh-clients-4.3p2-36.el5-deps rootOracle-2#rpm-eopenssh-server-4.3p2-36.el5-deps rootOracle-2#rpm-eopenssh-askpass-4.3p2-36.el5-deps (4)删除 /etc/ssh/ 目录下的 ssh 文件rm-rf/etc/ssh/* 第五步:安装 OpenSSH 软件解压下载的软件包安装 OpenSSH软件:进入解压出的
7、文件夹,按照顺序执行下面的编译和安装命令:rootOracle-2#./configure prefix=/usr sysconfdir=/etc/ssh with-pam with-md5-passwords mandir=/usr/share/man rootOracle-2#make rootOracle-2#makeinstall 执行完成后,就可以用ssh-V命名查看 openssh 的版本,验证安装结果:rootOracle-2#ssh-V 可以看到版本已经变成6.0p1 了,说明安装没有问题。接下来,恢复sshd 文件,将备份的sshd 文件复制到 /etc/init.d/ 目录
8、下:rootOracle-2#cp/root/sshd/etc/init.d/sshd 测试 sshd 服务的启动和停止:rootOracle-2#servicesshdrestart Stoppingsshd:OK Startingsshd:OK OK,到这里, OpenSSH的升级就做完了。注意:这样升级完成,在服务器关机启动后,sshd 服务不会自动启动,为了使sshd 服务在开机时自动启动,我们需要执行下面的命令:rootOracle-2#chkconfig-addsshd rootOracle-2#chkconfig-level123456sshdon 这样开机后就可以自动启动ssh
9、d 服务了。参考内容:第六步:配置 sftp服务用户的访问权限精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 2 页,共 4 页 - - - - - - - - - - 精心整理(1)创建 sftp 用户的主根目录rootOracle-2#mkdir-p/home/sftp rootOracle-2#chmod-R755/home/sftp (2)创建 sftp 用户组和一个sftp 用户rootOracle-2#groupaddsftp rootOracle-2#useradd-gsftp-d/home
10、/sftp/blogblog rootOracle-2#passwdblog (3)权限设置设置 /etc/ssh/sshd_config 配置文件,通过Chroot 限制用户的根目录。rootOracle-2#vi/etc/ssh/sshd_config #overridedefaultofnosubsystems #注释掉原来的Subsystem设置#Subsystemsftp/usr/libexec/sftp-server #启用 internal-sftpSubsystemsftpinternal-sftp #Exampleofoverridingsettingsonaper-user
11、basis #MatchUseranoncvs #X11Forwardingno #AllowTcpForwardingno #ForceCommandcvsserver #限制 blog 用户的根目录MatchUserpay ChrootDirectory/home/sftp/blog/ X11Forwardingno AllowTcpForwardingno ForceCommandinternal-sftp 保存退出,重启sshd 服务:rootOracle-2#servicesshdrestart (4)测试 sftp 权限控制使用 blog 用户尝试登录sftp,发现无法登陆,给出的
12、提示也很难看懂,什么原因呢?原来要使用Chroot 功能实现用户根目录的控制,目录权限的设置非常重要,否则将会无法登陆。目录权限设置上要遵循2 点:ChrootDirectory设置的目录权限及其所有的上级文件夹权限,属主和属组必须是root ;ChrootDirectory设置的目录权限及其所有的上级文件夹权限,只有属主能拥有写权限,也就是说权限最大设置只能是755。如果不能遵循以上2 点,即使是该目录仅属于某个用户,也可能会影响到所有的SFTP用户。设置目录的属主和权限:rootOracle-2#chownroot:root/home/sftp/home/sftp/blog rootOra
13、cle-2#chmod755/home/sftp/home/sftp/blog 由于上面设置了目录的权限是755, 因此所有非root 用户都无法在目录中写入文件。我们需要在ChrootDirectory指定的目录下建立子目录,重新设置属主和权限。以blog 目录为例:rootOracle-2#mkdir/home/sftp/blog/web rootOracle-2#chownblog:sftp/home/sftp/blog/web rootOracle-2#chown775/home/sftp/blog/web 设置完成后,我们再用blog 用户登录 sftp,发现这次可以正常登录了,并且
14、可以访问的根目录控制在了/home/sftp/blog/下,达到了我们的要求。补充:精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 3 页,共 4 页 - - - - - - - - - - 精心整理上面是设置某一个sftp 用户的访问权限,我们可以通过下面的配置,来设置某一个sftp 组的用户访问权限:Matchgroupsftp ChrootDirectory/home/sftp/ X11Forwardingno AllowTcpForwardingno ForceCommandinternal-sftp ¥ 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 4 页,共 4 页 - - - - - - - - - -