Апр 242011
 

Понадобилось мне реализовать, для backup web сервера.
Почитав  литературу понял,  что openssh справиться с этой задачей.
В OpenSSH с версии 4.9 появилась возможность помещать отдельных
пользователей в изолированное окружение ( ТЮРЬМУ ).
Помещение в chroot управляется через директиву ChrootDirectory, задаваемую в
конфигурационном файле sshd_config.
При задействовании sftp-server интегрированного в sshd, при этом не требуется
формирование специального chroot окружения.
Приступим к настройки.
настроим openssh-server

cat /etc/ssh/sshd_config | grep -v ^# | grep -v ^$
Port 9822
Protocol 2
PermitRootLogin no
MaxAuthTries 1
PasswordAuthentication no
UsePAM yes
X11Forwarding no
PrintMotd no
PrintLastLog no
AllowUsers bars@192.168.1.* soon sftponly
Subsystem   sftp    internal-sftp      
Match user sftponly      
ChrootDirectory /home/sftp      
ForceCommand internal-sftp

mkdir -p /home/sftp
chown -R root:root /home/sftp
Создадим корневую директорию. Добавим уже созданного пользователя или создадим нового.
Директория в которую мы делаем chroot должна принадлежать root,и права на запись должны принадлежать только владельцу.
750
Поясню кусок кода
ForceCommand internal-sftp
Разрешает пользователю использовать только sftp, встроенный в sshd.
AllowUsers bars@192.168.1.* soon sftponly
Одобренные пользователи для захода к ssh и sftpd
bars — этому пользователя дан досту только из сети 192.168.1.*
soon — полный доступ
sftponly — только к сервису sftp
Match group sftponly
Привелигированая группа , которой разрешен доступ к sftp.
ChrootDirectory /home/sftp
Корневая директория для хранения пользовательских изолированных окружений.

  • Также можно определить права доступа и на группу.
mkdir -p /home/sftp
chown -R root:root /home/sftp
Создаем группу для sftp
groupadd sftponly

Далее создаем пользователя и добавляем на группу домашнею, директорию.

Match Group chrootusers
ChrootDirectory /home/sftp
X11Forwarding no
AllowTcpForwarding no
Subsystem       sftp    internal-sftp

 Leave a Reply

(required)

(required)

38 Запросов к базе. 0,478 Генерации страницы, 37MB Использование памяти.
Вы зашли с IP: 54.196.47.145