免费在线a视频-免费在线观看a视频-免费在线观看大片影视大全-免费在线观看的视频-色播丁香-色播基地

教你如何配置linux用戶實現禁止ssh登陸機器但可用sftp登錄!

:2019年07月26日 博客園
分享到:

最近有個這樣的訴求:基于對線上服務器的保密和安全,不希望開發人員直接登錄線上服務器,因為登錄服務器的權限太多難以管控,如直接修改代碼、系統配置,并且也直接連上mysql。因此希望能限制開發人員s...

構想和目標

最近有個這樣的訴求:基于對線上服務器的保密和安全,不希望開發人員直接登錄線上服務器,因為登錄服務器的權限太多難以管控,如直接修改代碼、系統配置,并且也直接連上mysql。因此希望能限制開發人員ssh登錄機器,但是通過ftp/sftp上傳代碼文件。

在網上找個各種各樣的方法,經過試驗做個匯總:

方法一
https://segmentfault.com/q/1010000000722462

這篇帖子的方法是搜索到的最通用的方法,方法是否可能呢,直接做個測試。

創建禁止登陸的用戶:

useradd test -M -s /sbin/nologin
試試ssh登陸:登陸失敗

[root@localhost app]# ssh test@172.19.194.30
test@172.19.194.30's password:
Last login: Tue Oct 11 15:28:07 2016 from 172.18.135.185
This account is currently not available.
Connection to 172.19.194.30 closed.
試試sftp登陸:同樣也提示登陸失敗!!!

[root@localhost app]# sftp test@172.19.194.30
test@172.19.194.30's password:
Received message too long 1416128883
[root@localhost app]#
可以看到,方法一,雖然限制了ssh登陸,但是同時也限制了sftp的連接,結論是此方法行不通。

方法二
http://jin771998569.blog.51cto.com/2147853/1067247

首先修改sshd的配置文件:
#vim /etc/ssh/sshd_config
#該行(上面這行)注釋掉
#Subsystem sftp /usr/lib/openssh/sftp-server

# 添加以下幾行
Subsystem sftp internal-sftp
Match group sftp
#Match user test
#匹配sftp組,如為單個用戶可用:Match user 用戶名;  設置此用戶登陸時的shell設為/bin/false,這樣它就不能用ssh只能用sftp
ChrootDirectory /home/test
#指定用戶被鎖定到的那個目錄,為了能夠chroot成功,該目錄必須屬主是root,并且其他用戶或組不能寫
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
添加用戶組和用戶
#添加用戶組
groupadd sftp

#添加用戶
useradd -d /home/test -m -s /bin/false -g sftp test

#修改密碼
passwd test

重啟SSH服務
service sshd restart

或者

/etc/init.d/ssh reload

測試ssh
[root@localhost etc]# ssh test@172.19.194.30
test@172.19.194.30's password:
Write failed: Broken pipe
登陸失敗,提示Write failed: Broken pipe錯誤

再測試sftp
[root@localhost etc]# sftp test@172.19.194.30
test@172.19.194.30's password:
Write failed: Broken pipe
Couldn't read packet: Connection reset by peer
同樣提示Write failed: Broken pipe

按理說此方法應該是靠譜的為什么會提示失敗呢,通過查找發現是目錄權限配置導致的:
https://my.oschina.net/davehe/blog/100280

目錄權限設置上要遵循2點:
ChrootDirectory設置的目錄權限及其所有的上級文件夾權限,屬主和屬組必須是root;
ChrootDirectory設置的目錄權限及其所有的上級文件夾權限,只有屬主能擁有寫權限,權限最大設置只能是755。

修改/home/test 目錄權限為755

chmod 755 /home/test -R

再次測試
[root@localhost etc]# ssh test@172.19.194.30
test@172.19.194.30's password:
Could not chdir to home directory /home/test: No such file or directory
This service allows sftp connections only.
Connection to 172.19.194.30 closed.
和預期一致:ssh嘗試連接失敗。

[root@localhost etc]# sftp test@172.19.194.30
test@172.19.194.30's password:
Connected to 172.19.194.30.
sftp> ls
a                a.log            authorized_keys  mysql.sh        
sftp>
sftp測試連接成功!

總結
這個東西雖然沒有太大的技術含量,但是通過網上查找的大多是雷同且行不通的,又或者是不完整的,過程中耽誤和浪費了不少時間,希望寫這篇博客做個驗證和匯總的作用。

參考:
如何關閉linux用戶的SSH權限,但還能登錄vsftpd
Linux openSSH 只能夠使用SFTP 不能使用ssh登陸
sftp服務限制用戶登錄家目錄
Linux_ftp_命令行下下載文件get與上傳文件put的命令應用

學習時的痛苦是暫時的 未學到的痛苦是終生的

[我要糾錯]
文:宋聰喬&發表于江蘇
關鍵詞: 構想 目標 最近 有個 這樣

來源:本文內容搜集或轉自各大網絡平臺,并已注明來源、出處,如果轉載侵犯您的版權或非授權發布,請聯系小編,我們會及時審核處理。
聲明:江蘇教育黃頁對文中觀點保持中立,對所包含內容的準確性、可靠性或者完整性不提供任何明示或暗示的保證,不對文章觀點負責,僅作分享之用,文章版權及插圖屬于原作者。

點個贊
0
踩一腳
0

您在閱讀:教你如何配置linux用戶實現禁止ssh登陸機器但可用sftp登錄!

Copyright?2013-2024 JSedu114 All Rights Reserved. 江蘇教育信息綜合發布查詢平臺保留所有權利

蘇公網安備32010402000125 蘇ICP備14051488號-3技術支持:南京博盛藍睿網絡科技有限公司

南京思必達教育科技有限公司版權所有   百度統計

主站蜘蛛池模板: 一个人在线看的www视频 | 中文国产成人精品少久久 | 波多野结衣一区二区三区四区 | 亚洲欧美日韩国产综合久 | 18jzjzz国产 | 国产丝袜护土调教在线视频 | 日韩欧美在线观看成人 | 亚洲香蕉一区二区三区在线观看 | 午夜剧院官方 | 最新日韩中文字幕 | 一本一道dvd在线播放器 | 成人国产精品久久久免费 | 九九成人 | 黄视频网站在线看 | 亚洲毛片网 | 国产成人免费片在线视频观看 | 午夜小福利 | 欧美一区二区三区四区在线观看 | 色噜噜噜 | 性生交大片免费一级 | 无遮挡无删动漫肉在线观看 | 一级毛片免费观看不卡视频 | 国产黄在线免费观看 | 草草视频在线观看最新 | 二区三区在线观看 | 天天摸夜夜添狠狠添2018 | 女女同性一区二区三区四区 | 污视频免费观看网站 | 成人久久伊人精品伊人 | 国产精品九九免费视频 | 天天干夜夜躁 | 日韩视频一 | 欧美在线观看视频一区 | 日韩精品一区二区三区 在线观看 | 任你躁在线精品免费视频网站 | 五月婷婷视频 | 在线天堂资源www中文在线 | 性xxxxx外性hd | 免费一看一级毛片人 | 欧美高清网站 | 日日a.v拍夜夜添久久免费 |
最熱文章
最新文章
  • 阿里云上云鉅惠,云產品享最低成本,有需要聯系,
  • 卡爾蔡司鏡片優惠店,鏡片價格低
  • 蘋果原裝手機殼