2. 程式人生 > >CentOS 7部署chroot ssh和sftp監牢

CentOS 7部署chroot ssh和sftp監牢

阿新 發佈:2019-06-28

看過很多文章,講如何部署ssh/sftp監牢,但全部都是ssh遠端登入後,進入監牢,卻無法使用外部命令,即只有pwd、echo、history三個命令可用。經過多方查詢,終於找到方法。

第01步

# mkdir /var/jail
# chown root: /var/jail
# chmod 0755 /var/jail

建立一個目錄,將用來“囚禁”遠端登入進來的使用者,即將他們限制在這個目錄內。當然,也可以將他們各自“囚禁”在各自的家目錄下。稍我們再討論這個話題。

第02步

# mkdir /var/jail/{bin,dev,lib64}

同時建立了三個目錄:/var/jail/bin、/var/jail/dev、/var/jail/lib64

第03步

# ldd $(which bash)

用which命令檢視bash的絕對地址,再用ldd查詢其依賴的動態連結庫。根據檢視的結果,它需要以下這幾個動態連結庫:
linux-vdso.so.1 =>  (0x00007ffd73b69000)
libtinfo.so.5 => /lib64/libtinfo.so.5 (0x00007f3d7dc16000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007f3d7da12000)
libc.so.6 => /lib64/libc.so.6 (0x00007f3d7d645000)
/lib64/ld-linux-x86-64.so.2 (0x00007f3d7de40000)

第04步

# cp -r /lib64 /var/jail/

# cp -r /usr/bin/* /var/jail/bin
以上大約拷貝了/lib64目錄下所有的動態連結庫,以及/usr/bin下所有的命令,共13萬多個檔案。網上大多的教程是用ldd查詢,需要哪些,就拷貝哪一些。如果,我們如需要讓被“囚禁”的使用者使用ls命令,就:

# ldd $(which ls)

然後再拷貝上面這個命令列舉出來的連結庫。此時,就當/var/jail是根目錄即可。如果動態連結庫在/lib64下,就建立一個/var/jail/lib64,再把那些檔案拷貝進來,依此類推。

第05步

# cd /var/jail/dev
# mknod -m 666 null c 1 3
# mknod -m 666 tty c 5 0
# mknod -m 666 zero c 1 5
# mknod -m 666 random c 1 8

根據man sshd_config的說明,建立執行shell和sftp需要的字元裝置,如/dev/tty、/dev/zero、/dev/null、/dev/random。

第06步

# groupadd jail
# useradd -G jail tom
# passwd tom

如果在建立一個蜜罐,就不要把組命名為jail了。黑客進來一看,就不玩了。我們可以將某個使用者或某個組的使用者“囚禁起來”。這裡,我要把jail組的使用者“囚禁”起來。本例可能用不到這個組。你也可以不建立。想好要把哪個使用者“關起來”就行。

第07步

# mkdir /var/jail/etc
# cp -vf /etc/{passwd,group} /var/jail/etc/

建立一個/var/jail/etc目錄。

第08步

用vim /etc/ssh/sshd_config,在檔案最後面新增以下內容

Match User alan
    ChrootDirectory /var/jail

這裡是將使用者alan關起來。當然,你可以使用組,如下:

Match Group jail
    ChrootDirectory %h

 %h,代表各使用者自己的家目錄。如果使用的是這第二種方法,則需要對各使用者的家目錄進行處理。這個方法相當於將監牢的位置進行了調整。所以前面對/var/jail的處理方法要在/home/alan處使用。/var/jail可以刪除了。

# chown root: /home/alan
# mkdir /home/alan/{bin,lib64,dev,etc}
# cp -r /lib64/* /home/alan/lib64
# cp -r /usr/bin/* /home/alan/bin
# chmod 0755 /home/alan
# cd /home/alan/dev
# mknod -m 666 null c 1 3
# mknod -m 666 tty c 5 0
# mknod -m 666 zero c 1 5
# mknod -m 666 random c 1 8

第09步

# mkdir /var/jail/dev/pts
# mount --bind /dev /var/jail/dev
# mount --bind /dev/pts /var/jail/dev/pts

如果不處理,會出現:/dev/pts/2 not found的錯誤。

第10步

# vim /etc/profile

內容如下:

export PATH=$PATH:/bin

儲存退出。然後再:

# source /etc/profile

這一步是絕大部分教程都忽略的一條。如果沒有,登入後,也是找不到命令。

第11步

# systemctl restart sshd

重啟sshd服務

第12步

測試。
 

# ssh alan@localhost
bash_4.2# pwd
bash_4.2# ls
bash_4.2# touch file.txt

測試成功後,我們再來配置sftp。此時,僅需要修改/etc/ssh/sshd_config將其最後的內容變成如下:

#Subsystem    sftp   /usr/libexec/openssh/sftp-server
Subsystem     sftp   internal-sftp
Match User alan
    ChrootDirectory /var/jail
    ForceCommand internal-sftp
    AllowTcpForwarding no

然後再重啟sshd服務,即可。測試方法如下:

# sftp alan@localhost

相關推薦

CentOS 7部署chroot sshsftp監牢

看過很多文章,講如何部署ssh/sftp監牢,但全部都是ssh遠端登入後,進入監牢,卻無法使用外部命令,即只有pwd、echo、h

Centos 7部署私有雲(Seafile)教程

centos7部署seafile 私有雲 seafile centos7安裝seafile 準備環境 11 cd /home/ 13 mkdir cloud 18 yum install -y gcc gcc-c++ autoconf automake wget 19

CentOS 7.1下SSH遠程登錄服務器詳解-轉

info which 開啟 如何 pty wan public keygen ger 轉自:http://www.linuxidc.com/Linux/2016-03/129204.htm 一、明文傳輸與加密傳輸 明文傳輸:當我們的數據包在網絡上傳輸的時候,以數據包的原

CentOS 7 部署中文字體環境

linux 加載中文字體環境1. 安裝環境包:# yum -y install fontconfig這時在/usr/shared目錄就可以看到fonts和fontconfig目錄# ll /usr/share/font*/usr/share/fontconfig:/usr/share/fonts:2.

centos 7 中 conda 環境Python2.7 中安裝遠程jupyter

配置 pass 準備 pen env conda 其他 nbsp 隔離 折騰了半天,為了能夠方便學習TensorFlow,搞了遠程的jupyter,方便在本地使用它,今天填了不少坑。 裝完後截圖: 下面是一些步驟: 檢查 Python 環境 CentOS 7

centos 7 部署k8s集群

指定 end update flannel cluster firewall clust /etc/ centos 前期準備 systemctl stop firewalldsystemctl disable firewalld yum -y install ntp sys

Centos 7.4 安裝ipythonmysql-python遇到的問題

centos 7.4 安裝ipythonpip安裝ipython報錯記錄#pip install ipython==5.5.0Collecting ipython==5.5.0 Downloading http://mirrors.aliyun.com/pypi/packages/08/2c/628550

centos 7 部署 open-falcon 0.2.0

body 3.2 1.7 前端 agen logs usr reg graph =============================================== 2017/12/06_第2次修改 ccb_warlo

CentOS 7部署PXE+kickstart無人值守安裝操作系統

楓雨1.簡介1.1kickstart 是一種無人值守的安裝方式。它的工作原理是在安裝過程中記錄人工幹預填寫的各種參數,並生成一個名為ks.cfg的文件。如果在自動安裝過程中出現要填寫參數的情況,安裝程序首先會去查找ks.cfg文件,如果找到合適的參數,就采用所找到的參數;如果沒有找到合適的參數,便會彈出對話

CentOS 7部署memcached緩存服務器

CentOS 7部署rsync備份服務器

楓雨1.簡介1.1rsync(官方地址 http://wwww.samba.org/ftp/rsync/rsync.html) 一個遠程數據同步工具,可通過LAN/WAN快速同步多臺主機間的文件。rsync使用所謂的“rsync算法”來使本地和遠程兩個主機之間的文件達到同步,這個算法只傳送兩個文件的不

CentOS 7部署NFS存儲服務器

楓雨1.簡介1.1NFS 網絡文件系統,是FreeBSD支持的文件系統中的一種,它允許網絡中的計算機之間通過TCP/IP網絡共享資源。在NFS的應用中,本地NFS的客戶端應用可以透明地讀寫位於遠端NFS服務器上的文件,就像訪問本地文件一樣。NFS服務只能應用在Linux系統上,FTP、samba服務均支持l

CentOS 7 部署inotify實時監控(NFS服務器上部署,rsync服務器測試)

楓雨1.簡介1.1inotify 一個 Linux 內核特性,它監控文件系統,並且及時向專門的應用程序發出相關的事件警告,比如刪除、讀、寫和卸載操作等。2.環境準備[root@nfs01 ~]# cat /etc/redhat-release CentOS Linux release 7.2.1511 (C

CentOS 7 部署LVS集群(DR模式、NAT模式,LVS+keepalived)

楓雨1.簡介1.1LVS linux虛擬服務器,是一個虛擬的服務器集群系統,可以在Unix和linux平臺下實現負載均衡集群的功能。1.2LVS與nginx的對比 1)工作在網絡模型的7層,可以針對http應用做一些分流的策略,nginx單憑這點可利用的場合遠多於LVS。 2)最新版的nginx也支持4

Linux SSHSFTP服務分離

HA title clas linux log logs .com class ID Linux SSH和SFTP服務分離 學習了:https://www.cnblogs.com/zihanxing/articles/5665383.html 都是監聽22端口; Li

CentOS 7部署 Ceph分布式存儲架構

.org 展示 擴容 分享 其他 裝包 主機 發生 fqdn 一、概述   隨著OpenStack日漸成為開源雲計算的標準軟件棧,Ceph也已經成為OpenStack的首選後端存儲。Ceph是一種為優秀的性能、可靠性和可擴展性而設計的統一的、分布式文件系統。  ceph官

centos 7 部署LDAP服務

erp 部署 {} cli link 更改 1.8 httpd test 172.21.251.111 server172.21.251.112 node {SSHA}gGQUjzyJX+Oi7ZJCURCVmqq2UmtVWHZd一、環境準備關閉 selinux fi

centos 7部署oracle 12c rac 上菜了

基礎 滿足 51cto ssh 安裝虛擬機 fdisk www 安裝oracle 多說 oracle 12c 發布用很長一段時間了,雖然在近期部署了幾套單實例oracle 12c,但一直都沒有機會在生產環境實施12c rac,當然,既不能把現有的11g rac幹掉,替換成1

CentOS-7 部署Django----安裝Nginx

star pack png eva tar restart 重啟nginx lease font CentOS-7 部署Django----安裝Nginx 在CentOS-7上部署Nginx步驟: 截至此時,Nginx的穩定版本為1.14,已下安裝版本為1.14 1、yum

CentOS-7 部署Django----部署Django步驟

修改 yacc 技術分享 更新 ESS systemd rep 安裝nginx strong CentOS-7 部署Django----部署Django步驟 前言:   網上找了好些資料進行學習怎麽樣部署Django,折騰了幾天,頭昏腦脹,始終沒有成功;   偶然在Yout