Cum să restricționați accesul unui utilizator la SFTP în directorul lor de acasă
Acest lucru va fi greu pentru a apela un manual sau un manual pentru setarea drepturilor de acces ale utilizatorului în Linux.
Aici descriu o singură sarcină pe care trebuie să o întâlnesc adesea în munca mea zilnică.
Lucrăm în principal cu CentOS, iar recent cu CentOS 7, astfel că această foaie ieftină este concepută în primul rând pentru această versiune a sistemului. Dacă funcționează în alte distribuții sau versiuni ale CentOS - este minunat.
În primul rând, presupun că OpenSSH este deja instalat pe sistem.
Prin urmare, mergeți imediat la editarea setărilor
Derulați până la sfârșitul fișierului și adăugați următoarele linii
O notă mică dar foarte importantă este relevantă aici.
În primul rând, proprietarul tuturor directoarelor din calea specificată în directiva ChrootDirectory trebuie să fie rădăcină. În caz contrar, utilizatorul nu poate intra în SFTP.
În al doilea rând, aceste directoare nu ar trebui să poată fi inscripționate pentru alți utilizatori.
Astfel, trebuie să facem câteva alte acțiuni pentru a limita accesul utilizatorului la directorul de domiciliu.
Există mai multe opțiuni. Aici luăm în considerare două dintre ele.
Prima opțiune este de a schimba proprietarul directorului testuser pentru a rădăcina și a crea un subdirector, de exemplu public_html, deținut de utilizatorul nostru de testuser.
Astfel, utilizatorii noștri își pierde în esență propriul director de acasă, dar nu are dreptul de a citi conținutul său, precum și acces deplin la subdirectorul public_html, unde a fost capabil să creeze tot ce este necesar.
A doua opțiune: în configurația serverului SSH, specificăm calea de bază către directorul / home, care este în orice caz rădăcină și nu poate fi scris de alți utilizatori.
În acest caz, utilizatorul testuser nu își pierde directorul de acasă și are drepturi complete de a scrie în directorul său.
Împreună cu aceasta, dacă avem alți utilizatori în sistem, toate directoarele de domiciliu ale tuturor utilizatorilor vor fi vizibile când vă conectați. Dar acesta este deja un subiect pentru un post separat.
Articole similare
Trimiteți-le prietenilor: