2. 程式人生 > 其它 >sftp服務限制使用者登入家目錄

sftp服務限制使用者登入家目錄

阿新 發佈:2021-06-17

sftp和ftp是兩種協議是不同的,sftp是ssh內含的協議,只要sshd伺服器啟動了,它就可用,它本身不需要ftp伺服器啟動。

1.檢視openssh軟體版本,想sftp服務使用者只能訪問特定的檔案目錄,版本需要4.8以上

[root@localhost ftp]# rpm -qa | grep openssh
openssh-server-5.3p1-81.el6_3.x86_64
openssh-5.3p1-81.el6_3.x86_64
openssh-clients-5.3p1-81.el6_3.x86_64

2.新增使用者,限制使用者只能通過sftp訪問

[root@localhost ftp]# useradd -m -d /home/uap  -s /sbin/nologin uap

3.限制使用者通過sftp登入進來時只能進入主目錄,修改/etc/ssh/sshd_config檔案

[root@localhost ftp]# vim /etc/ssh/sshd_config
#Subsystem	sftp	/usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp
Match User uap
         ChrootDirectory /home/uap
         X11Forwarding no
         AllowTcpForwarding no
         ForceCommand internal-sftp

重啟ssh

4.測試訪問

root@10.1.1.200:test# sftp -oPort=22 [email protected]
Connecting to 127.0.0.1...
[email protected]'s password: 
Read from remote host 10.1.6.175: Connection reset by peer
Couldn't read packet: Connection reset by peer

發現連線不上,檢視日誌

[root@localhost ftp]# tail /var/log/messages
Jan  6 11:41:41 localhost sshd[4907]: fatal: bad ownership or modes for chroot directory "/home/uap"
Jan  6 11:41:41 localhost sshd[4905]: pam_unix(sshd:session): session closed for user uap

解決方法:

目錄許可權設定上要遵循2點:

ChrootDirectory設定的目錄許可權及其所有的上級資料夾許可權,屬主和屬組必須是root;

ChrootDirectory設定的目錄許可權及其所有的上級資料夾許可權,只有屬主能擁有寫許可權,許可權最大設定只能是755。

如果不能遵循以上2點,即使是該目錄僅屬於某個使用者,也可能會影響到所有的SFTP使用者。

[root@localhost ftp]# ll
total 4
drwxr-xr-x 3 uap uap 4096 Jan  5 13:06 uap
[root@localhost ftp]# chown root:root uap
[root@localhost ftp]# chmod 755 uap
[root@localhost ftp]# ll
total 4
drwxr-xr-x 3 root root 4096 Jan  5 13:06 uap

然後在測試通過

[email protected]:test# sftp -oPort=22 [email protected]
Connecting to 10.1.6.175...
[email protected]'s password: 
sftp> ls
test  
sftp> cd ..
sftp> ls
test  
sftp> cd test
sftp> ls
1.txt  
sftp> get 1.txt
Fetching /test/1.txt to 1.txt
/test/1.txt

可以看到已經限制使用者在家目錄,同時該使用者也不能登入該機器。

相關推薦

sftp服務限制使用者登入目錄

sftp和ftp是兩種協議是不同的,sftp是ssh內含的協議,只要sshd伺服器啟動了,它就可用,它本身不需要ftp伺服器啟動。

限制sa 登入IP

MSSQL-SA賬號安全限制 約定規則:   觸發器名稱:forbiddensa 執行DB:   master 1.刪除觸發器

攻防世界-web-Web_php_wrong_nginx_config(繞過登入目錄瀏覽、後門利用)

進入場景後,提示需要登入 嘗試開啟robots.txt頁面,發現2個隱藏頁面:hint.php和Hack.php

mysql服務端的登入和啟動命令&mysql -u 不是內部或者外部命令.....解決方案

–解決環境變數配置問題的直接拉到本頁部落格最後----- 在cmd端輸入:mysql -u root -p

CentOS7搭建sftp服務

sftp簡介 sftp是Secure File Transfer Protocol的縮寫,安全檔案傳送協議。可以為傳輸檔案提供一種安全的加密方法。sftp 與 ftp 有著幾乎一樣的語法和功能。SFTP 為SSH的一部分,是一種傳輸檔案至 Blogger

CentOS8.2 SSH服務使用與SFTP服務部署手冊(1)

1、密碼驗證 配置SSH伺服器以從遠端伺服器 [1] 使用最小化安裝centos,預設情況下一句安裝OpenSSH,因此不需要安裝新軟體包,你可以使用預設密碼身份驗證登入系統,預設情況下,root使用者賬號是允許登入,最好修改設

如何修改Jenkins的工作目錄目錄

技術標籤:Jenkinsjenkinsfilelinux運維jenkinsapachedocker 如何修改Jenkins的目錄和工作目錄

CentOS7.6-搭建SFTP服務

1.需求 搭建多賬號SFTP,不同的使用者只能夠檢視自己所屬的目錄 禁止SFTP賬號通過SSH連線

SSH埠修改及限制IP登入及禁止ROOT遠端登入方法

1、修改SSH預設埠 //修改配置檔案 vi /etc/ssh/sshd_config //修改 #Port 22 為如下: Port 22

feign呼叫如何傳遞token_走進Spring Cloud之五 eureka Feign(服務呼叫

技術標籤:feign呼叫如何傳遞token Feign Feign是一個宣告式、模板化的HTTP客戶端。它使得寫Http客戶端變得更簡單。使用Feign,只需要用JAX-RS或Spring MVC註解建立可以實現的動態介面。

CentOS7 SFTP服務安裝和使用

SFTP簡介 sftp是一種安全的檔案傳送協議,是ssh內含協議,也就是說只要sshd伺服器啟動了,sftp就可使用,不需要額外安裝,它的預設埠和SSH一樣為22。

kali 2021 使用SSH服務進行遠端登入配置 設定SSH開機自啟動

在首次安裝kali系統時要給root一個密碼,有些命令普通使用者是執行不了的,得在root許可權下進行操作

Ubuntu20.04 搭建 FTP 服務,根目錄為使用者目錄/home/user/ftp

1、前言 ftp搭建需求 2、建立資料夾 cd /home/bjlthy mkdir ftp chmod 777 ftp/ 3、安裝 sudo apt-get remove vsftpd

postgresql-限制使用者登入錯誤次數

原文https://blog.csdn.net/weixin_39540651/article/details/108227188 【等保用】 在oracle中我們可以通過設定FAILED_LOGIN_ATTEMPTS來限制使用者密碼登入錯誤的次數,但是在postgresql中是不支援這個功能的。儘管

入獄後,三星掌門人李在鎔再遭就業限制:7 年無掌舵的商業帝國何去何從 - IT之

入獄一個月後,三星掌門李在鎔 “行賄案”又有了新進展。 2 月 17 日,據韓國 KBS 新聞報道,韓國法務部近日對三星電子副會長、三星集團掌門人李在鎔正式發出了就業限制的處罰通報。

IT之學院:Win11 家庭版如何繞過微軟賬戶限制使用本地賬戶登入

Windows 11 的第一個 Insider 預覽版現已釋出,《Win11 家庭版強制要求使用微軟帳戶登入,專業版/企業版仍支援本地帳戶》一文中提到 Windows 11 家庭版不再支援使用本地賬戶完成首次登入和 OOBE,必須使用微軟賬戶的

Unity登入註冊時限制傳送驗證碼次數功能的解決方法

當我們需要在Unity客戶端做一個限制功能,比如按鈕 (最好是傳送驗證碼按鈕)要求每天只能點選三次,等到第二天又有三次機會,這個過程不涉及到服務端訊息,只涉及到本地儲存,以下是我的解決方案:

如何使用Jenkins編譯並打包SpringCloud微服務目錄

這篇文章主要介紹瞭如何使用Jenkins編譯並打包SpringCloud微服務目錄,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

基於Redis實現每日登入失敗次數限制

1. 思路 下面是我以前寫的程式碼,沒考慮高併發場景。如果是高併發場景下,要考慮到redis的set方法覆蓋值問題,可以使用incr來替代get,set保證資料安全

MYSQL5.7.24安裝沒有data目錄和my-default.ini及服務無法啟動的完美解決辦法

mysql官網下載地址:https://dev.mysql.com/downloads/mysql/ 新版安裝包解壓後,沒有網上教程裡面提到的data資料夾和my-default.ini,如下圖所示