最近有個這樣的訴求:基于對線上服務器的保密和安全,不希望開發人員直接登錄線上服務器,因為登錄服務器的權限太多難以管控,如直接修改代碼、系統配置,并且也直接連上mysql。因此希望能限制開發人員s...
構想和目標
最近有個這樣的訴求:基于對線上服務器的保密和安全,不希望開發人員直接登錄線上服務器,因為登錄服務器的權限太多難以管控,如直接修改代碼、系統配置,并且也直接連上mysql。因此希望能限制開發人員ssh登錄機器,但是通過ftp/sftp上傳代碼文件。
在網上找個各種各樣的方法,經過試驗做個匯總:
方法一
https://segmentfault.com/q/1010000000722462
這篇帖子的方法是搜索到的最通用的方法,方法是否可能呢,直接做個測試。
創建禁止登陸的用戶:
useradd test -M -s /sbin/nologin
試試ssh登陸:登陸失敗
[root@localhost app]# ssh test@172.19.194.30
test@172.19.194.30's password:
Last login: Tue Oct 11 15:28:07 2016 from 172.18.135.185
This account is currently not available.
Connection to 172.19.194.30 closed.
試試sftp登陸:同樣也提示登陸失敗!!!
[root@localhost app]# sftp test@172.19.194.30
test@172.19.194.30's password:
Received message too long 1416128883
[root@localhost app]#
可以看到,方法一,雖然限制了ssh登陸,但是同時也限制了sftp的連接,結論是此方法行不通。
方法二
http://jin771998569.blog.51cto.com/2147853/1067247
首先修改sshd的配置文件:
#vim /etc/ssh/sshd_config
#該行(上面這行)注釋掉
#Subsystem sftp /usr/lib/openssh/sftp-server
# 添加以下幾行
Subsystem sftp internal-sftp
Match group sftp
#Match user test
#匹配sftp組,如為單個用戶可用:Match user 用戶名; 設置此用戶登陸時的shell設為/bin/false,這樣它就不能用ssh只能用sftp
ChrootDirectory /home/test
#指定用戶被鎖定到的那個目錄,為了能夠chroot成功,該目錄必須屬主是root,并且其他用戶或組不能寫
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
添加用戶組和用戶
#添加用戶組
groupadd sftp
#添加用戶
useradd -d /home/test -m -s /bin/false -g sftp test
#修改密碼
passwd test
重啟SSH服務
service sshd restart
或者
/etc/init.d/ssh reload
測試ssh
[root@localhost etc]# ssh test@172.19.194.30
test@172.19.194.30's password:
Write failed: Broken pipe
登陸失敗,提示Write failed: Broken pipe錯誤
再測試sftp
[root@localhost etc]# sftp test@172.19.194.30
test@172.19.194.30's password:
Write failed: Broken pipe
Couldn't read packet: Connection reset by peer
同樣提示Write failed: Broken pipe
按理說此方法應該是靠譜的為什么會提示失敗呢,通過查找發現是目錄權限配置導致的:
https://my.oschina.net/davehe/blog/100280
目錄權限設置上要遵循2點:
ChrootDirectory設置的目錄權限及其所有的上級文件夾權限,屬主和屬組必須是root;
ChrootDirectory設置的目錄權限及其所有的上級文件夾權限,只有屬主能擁有寫權限,權限最大設置只能是755。
修改/home/test 目錄權限為755
chmod 755 /home/test -R
再次測試
[root@localhost etc]# ssh test@172.19.194.30
test@172.19.194.30's password:
Could not chdir to home directory /home/test: No such file or directory
This service allows sftp connections only.
Connection to 172.19.194.30 closed.
和預期一致:ssh嘗試連接失敗。
[root@localhost etc]# sftp test@172.19.194.30
test@172.19.194.30's password:
Connected to 172.19.194.30.
sftp> ls
a a.log authorized_keys mysql.sh
sftp>
sftp測試連接成功!
總結
這個東西雖然沒有太大的技術含量,但是通過網上查找的大多是雷同且行不通的,又或者是不完整的,過程中耽誤和浪費了不少時間,希望寫這篇博客做個驗證和匯總的作用。
參考:
如何關閉linux用戶的SSH權限,但還能登錄vsftpd
Linux openSSH 只能夠使用SFTP 不能使用ssh登陸
sftp服務限制用戶登錄家目錄
Linux_ftp_命令行下下載文件get與上傳文件put的命令應用
學習時的痛苦是暫時的 未學到的痛苦是終生的
來源:本文內容搜集或轉自各大網絡平臺,并已注明來源、出處,如果轉載侵犯您的版權或非授權發布,請聯系小編,我們會及時審核處理。
聲明:江蘇教育黃頁對文中觀點保持中立,對所包含內容的準確性、可靠性或者完整性不提供任何明示或暗示的保證,不對文章觀點負責,僅作分享之用,文章版權及插圖屬于原作者。
Copyright?2013-2024 JSedu114 All Rights Reserved. 江蘇教育信息綜合發布查詢平臺保留所有權利
蘇公網安備32010402000125
蘇ICP備14051488號-3技術支持:南京博盛藍睿網絡科技有限公司
南京思必達教育科技有限公司版權所有 百度統計