日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

背景：在vcenter6.5中創(chuàng)建兩個(gè)虛擬機(jī)，如下圖，

成都網(wǎng)站建設(shè)、做網(wǎng)站的關(guān)注點(diǎn)不是能為您做些什么網(wǎng)站，而是怎么做網(wǎng)站，有沒有做好網(wǎng)站，給創(chuàng)新互聯(lián)公司一個(gè)展示的機(jī)會(huì)來證明自己，這并不會(huì)花費(fèi)您太多時(shí)間，或許會(huì)給您帶來新的靈感和驚喜。面向用戶友好，注重用戶體驗(yàn)，一切以用戶為中心。

目的：創(chuàng)建一名用戶同時(shí)能夠?qū)崿F(xiàn)chroot來限制ssh及sftp至指定目錄,可以實(shí)現(xiàn)系統(tǒng)安全。

其中，我們將在pool-test（ip:172.16.6.11）中進(jìn)行配置，用vsan-test1(ip:172.16.6.10)用來測(cè)試。

接下來開始在pool-test中開始進(jìn)行配置ssh

首先，建立一個(gè)指定目錄

mkdir /home/share_conext

列出指定目錄必須包含支持用戶會(huì)話所必需的文件和目錄

ls -l /dev/{null,zero,stdin,stdout,stderr,random,tty}

用 mknod 命令創(chuàng)建 /dev 下的文件。-m 標(biāo)志用來指定文件權(quán)限位，c意思是字符文件，兩個(gè)數(shù)字分別是文件指向的主要號(hào)和次要號(hào)

mkdir -p /home/share_conext/dev/
cd /home/share_conext/dev/
mknod -m 666 null c 1 3
mknod -m 666 tty c 5 0
mknod -m 666 zero c 1 5
mknod -m 666 random c 1 8
ls

在 chroot 監(jiān)獄中設(shè)置合適的權(quán)限。注意 chroot 監(jiān)獄和它的子目錄以及子文件必須被 root 用戶所有，并且對(duì)普通用戶或用戶組不可寫：

chown root:root /home/share_conext/
chmod 755 /home/share_conext/

為SSH設(shè)置交互式shell

mkdir -p /home/share_conext/bin
cp -v /bin/bash /home/share_conext/bin/

mkdir -p /home/share_conext/lib64
ldd /bin/bash

將識(shí)別出的共享庫復(fù)制到lib64目錄下方

cp -v /lib64/libtinfo.so.5 /lib64/libdl.so.2 /lib64/libc.so.6 /lib64/ld-linux-x86-64.so.2 /share_conext/lib64

創(chuàng)建并配置sshuser用戶并設(shè)置安全密碼

useradd sshuser
passwd sshuser

mkdir /home/share_conext/etc
cp -vf /etc/{group,passwd} /home/share_conext/etc/

注：若添加更多用戶，則需要再次執(zhí)行上步操作。

配置ssh使用chroot

vi /etc/ssh/sshd_config

在文件中修改 Match User sshuser,及指定目錄 ChrootDirectory /home/share_context/

并保存退出

重啟sshd.service

systemctl restart sshd.service

在vsan-test1中進(jìn)行測(cè)試

ssh sshuser@172.16.6.11

可以看到當(dāng)前目錄已經(jīng)是“根目錄”了。

接下來開始在pool-test中配置sftp

vi /etc/ssh/sshd_config

在文件中添加

 # 找到如下行，并注釋掉
 Subsystem      sftp    /usr/libexec/openssh/sftp-server # 添加如下幾行
 Subsystem   sftp  internal-sftp  #指定使用sftp服務(wù)使用系統(tǒng)自帶的internal-sftp
 Match Group sshuser   #之前默認(rèn)創(chuàng)建的組
 ForceCommand    internal-sftp  #指定sftp命令

然后，重啟sshd服務(wù)

service restart sshd.service

重啟完畢后用戶sshuser就可以正常通過sftp客戶端登錄了。
但是因?yàn)?home/share_conext都屬于root用戶組，所以無寫權(quán)限。進(jìn)行如下處理：

在/home/share_conext目錄下創(chuàng)建上傳目錄，并修改目錄權(quán)限控制

mkdir /home/share_conext/write/
chown sshuser:sshuser /home/share_conext/write
chmod 777 /home/share_conext/write

至此，可以使用sftp登錄，并能夠進(jìn)行上傳文件或者下載文件。

在vsan-test1中驗(yàn)證

sftp sshuser@172.16.6.11

驗(yàn)證下載功能

在pool-test中的/home/share_conext/write/下生成兩個(gè)文件

vi /home/share_conext/write/helloworld.py
vi /home/share_conext/write/hehe.txt
ls /home/share_conext/write/

切換到vsan-test中

get write/helloworld.py /home/   #指定文件存儲(chǔ)的目錄

查看

驗(yàn)證上傳功能

在剛才的/home/中創(chuàng)建startd.py

重新連接

sftp sshuser@172.16.6.11
put /home/startd.py /write/    # 因?yàn)榇藭r(shí)的根目錄是share_conext/ ，所以可以直接寫成/write/

切換到pool-test虛擬機(jī)中查看剛才上傳的文件

至此已經(jīng)全部配置完畢了！

注：部分內(nèi)容參考鏈接http://blog.csdn.net/akeyile2010/article/details/50751834、http://blog.sina.com.cn/s/blog_67e34ceb01013m3v.html、http://jingyan.baidu.com/article/fa4125acf068c328ac7092d8.html

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

新聞標(biāo)題：centos7中實(shí)現(xiàn)chroot限制ssh及sftp至指定目錄-創(chuàng)新互聯(lián)
標(biāo)題URL：http://www.dlmjj.cn/article/djsoeh.html