SFTP Server Chroot Configuration | How to Setup Chroot SFTP in Linux
Mục lục:
Trong hướng dẫn này, chúng tôi sẽ giải thích cách thiết lập môi trường Nhà tù SFTP Chroot sẽ hạn chế người dùng vào thư mục nhà của họ. Người dùng sẽ chỉ có quyền truy cập SFTP, quyền truy cập SSH sẽ bị tắt. Các hướng dẫn này sẽ hoạt động cho mọi phân phối Linux hiện đại bao gồm Ubuntu, CentOS, Debian và Fedora.
Tạo một nhóm SFTP
Thay vì định cấu hình máy chủ OpenSSH cho từng người dùng, chúng tôi sẽ tạo một nhóm mới và thêm tất cả người dùng được chọn vào nhóm này.
Chạy lệnh
groupadd
sau để tạo nhóm người dùng
sftponly
:
sudo groupadd sftponly
Bạn có thể đặt tên nhóm theo ý muốn.
Thêm người dùng vào nhóm SFTP
Bước tiếp theo là thêm người dùng mà bạn muốn giới hạn vào nhóm
sftponly
.
Nếu đây là thiết lập mới và người dùng không tồn tại, bạn có thể tạo tài khoản người dùng mới bằng cách nhập:
sudo useradd -g sftponly -s /bin/false -m -d /home/username username
- Tùy chọn
-g sftponlysẽ thêm người dùng vào nhóm sftponly. Tùy chọn-s /bin/falseđặt vỏ đăng nhập của người dùng. Bằng cách đặt shell đăng nhập thành/bin/false, người dùng sẽ không thể đăng nhập vào máy chủ thông qua SSH. Tùy chọn-m -d /home/usernamebiết để tạo thư mục nhà của người dùng.
Đặt mật khẩu mạnh cho người dùng mới tạo:
sudo passwd username
sftponly
khác, nếu người dùng bạn muốn hạn chế đã tồn tại, hãy thêm người dùng vào nhóm
sftponly
và thay đổi trình bao của người dùng:
sudo usermod -G sftponly -s /bin/false username2
Thư mục nhà người dùng phải được sở hữu bởi root và có
755
quyền:
sudo chown root: /home/username
sudo chmod 755 /home/username
Vì các thư mục gốc của người dùng được sở hữu bởi người dùng root, những người dùng này sẽ không thể tạo các tệp và thư mục trong các thư mục chính của họ. Nếu không có thư mục trong nhà của người dùng, bạn sẽ cần tạo các thư mục mới mà người dùng sẽ có quyền truy cập đầy đủ. Ví dụ: bạn có thể tạo các thư mục sau:
sudo mkdir /home/username/{public_html, uploads}
sudo chmod 755 /home/username/{public_html, uploads}
sudo chown username:sftponly /home/username/{public_html, uploads}
Nếu một ứng dụng web đang sử dụng thư mục
public_html
của người dùng làm gốc tài liệu, những thay đổi này có thể dẫn đến các vấn đề về quyền. Ví dụ: nếu bạn đang chạy WordPress, bạn sẽ cần tạo một nhóm PHP sẽ chạy khi người dùng sở hữu các tệp và thêm trình xóa web vào nhóm
sftponly
.
Cấu hình SSH
SFTP là một hệ thống con của SSH và hỗ trợ tất cả các cơ chế xác thực SSH.
Mở tệp cấu hình SSH
/etc/ssh/sshd_config
bằng trình soạn thảo văn bản của bạn:
sudo nano /etc/ssh/sshd_config
Tìm kiếm dòng bắt đầu với
Subsystem sftp
, thường là ở cuối tệp. Nếu dòng bắt đầu bằng hàm băm
#
xóa băm
#
và sửa đổi nó thành như sau:
Subsystem sftp internal-sftp
Đến cuối tập tin, khối cài đặt sau:
Match Group sftponly ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no X11Forwarding no
Lệnh
ChrootDirectory
chỉ định đường dẫn đến thư mục chroot.
%h
có nghĩa là thư mục nhà của người dùng. Thư mục này, phải được sở hữu bởi người dùng root và không thể ghi bởi bất kỳ người dùng hoặc nhóm nào khác.
Cẩn thận hơn khi sửa đổi tệp cấu hình SSH. Cấu hình không chính xác có thể khiến dịch vụ SSH không khởi động được.
Khi bạn đã hoàn tất, hãy lưu tệp và khởi động lại dịch vụ SSH để áp dụng các thay đổi:
sudo systemctl restart ssh
Trong CentOS và Fedora, dịch vụ ssh được đặt tên là
sshd
:
Kiểm tra cấu hình
Bây giờ bạn đã cấu hình chroot SFTP, bạn có thể thử đăng nhập vào máy từ xa thông qua SFTP bằng thông tin đăng nhập của người dùng chroot. Trong hầu hết các trường hợp, bạn sẽ sử dụng máy khách SFTP trên máy tính để bàn như FileZilla nhưng trong ví dụ này, chúng tôi sẽ sử dụng lệnh sftp.
Mở kết nối SFTP bằng lệnh sftp theo sau là tên người dùng máy chủ từ xa và địa chỉ IP của máy chủ hoặc tên miền:
sftp [email protected]
Bạn sẽ được nhắc nhập mật khẩu người dùng. Sau khi kết nối, máy chủ từ xa sẽ hiển thị thông báo xác nhận và lời nhắc
sftp>
:
[email protected]'s password: sftp>
Chạy lệnh
pwd
, như hiển thị bên dưới, và nếu mọi thứ hoạt động như mong đợi, lệnh sẽ trả về
/
.
sftp> pwd Remote working directory: /
Bạn cũng có thể liệt kê các tệp và thư mục từ xa bằng
ls
và bạn sẽ thấy các thư mục mà chúng tôi đã tạo trước đó:
Phần kết luận
Trong hướng dẫn này, bạn đã học cách thiết lập môi trường Bẻ khóa SFTP Chroot trên máy chủ Linux của bạn và hạn chế quyền truy cập của người dùng vào thư mục chính của họ.
Theo mặc định, SSH lắng nghe trên cổng 22. Thay đổi cổng SSH mặc định sẽ thêm một lớp bảo mật bổ sung cho máy chủ của bạn bằng cách giảm nguy cơ tấn công tự động. Bạn cũng có thể muốn thiết lập xác thực dựa trên khóa SSH và kết nối với máy chủ mà không cần nhập mật khẩu.
bảo mật sshp"Ngành công nghiệp cuối cùng có thể thấy một làn sóng hợp nhất đáng kể nếu các nhà cung cấp mạnh hơn tiếp tục đẩy lợi thế về giá của họ." Các nhà sản xuất PC hàng đầu có thể giảm chi phí của họ bằng cách làm việc với các nhà cung cấp để có được thỏa thuận tốt hơn, nhưng các nhà cung cấp PC nhỏ hơn không có loại đòn bẩy đó, David Daoud, một nhà quản lý nghiên cứu của IDC cho biết. Các lô hàng PC chỉ tăng 3,6% trong quý lên 17 triệu chiếc, giảm so với dự đoán ban đầu của IDC là 3,8%, Dao
Toàn cầu, HP giữ vị trí là nhà cung cấp PC hàng đầu, vận chuyển 13,32 triệu chiếc, chiếm 18,9% thị phần, tăng 16,8% so với cùng kỳ năm ngoái. Dell đứng vị trí thứ hai với 11,56 triệu chiếc, chiếm 16,4% thị phần và tăng 21,4% so với cùng kỳ năm ngoái. Acer đã chứng kiến một sự gia tăng mạnh mẽ 63,5 phần trăm so với năm trước, đặt nó ở vị trí thứ ba với 6,97 triệu đơn vị vận chuyển. Lenovo và Toshiba lần lượt đứng thứ tư và thứ năm,
Các nhà sản xuất thiết bị truyền thông đã hợp lực trong năm 2006 để đạt được lợi thế kinh tế nhờ quy mô để cạnh tranh tốt hơn với các nhà cung cấp Trung Quốc chi phí thấp như: Huawei Technologies. Động thái này cũng loại bỏ một đối thủ cạnh tranh độc lập đang cố gắng cung cấp cho một số lượng các nhà cung cấp dịch vụ giảm, theo sau một loạt các vụ sáp nhập các nhà cung cấp dịch vụ lớn. Tuy nhiên, thỏa thuận xuyên Đại Tây Dương gây ra những lo ngại về các cuộc đụng độ văn hoá và triển vọng tương
Tuy nhiên, sự từ chức có thể làm rõ đường cho các nhà lãnh đạo có thể cung cấp những gì tìm kiếm, Kerravala tin. Trong thế giới viễn thông truyền thống nơi mà Russo và Tchuruk đến từ, các nhà cung cấp như Alcatel và Lucent đã xây dựng cả mạng và phần mềm để cung cấp ứng dụng cho họ. Ngày nay, các hãng viễn thông như BT Group và AT & T muốn có một cơ sở hạ tầng IP (Internet Protocol) duy nhất có thể thực hiện các ứng dụng và dịch vụ được phát triển bởi các bên thứ ba, Kerravala cho biết. Các tin
Tuần trước Mayer đã cố gắng làm rõ vị trí của mình, cho rằng nó đã bị hiểu sai và rằng Yahoo vẫn có thể làm việc ở nhà, miễn là nó vào ban đêm hoặc vào cuối tuần. (Hey, cảm ơn!) Sau đó, cô đã đưa ra một ví dụ về cách một ứng dụng di động mới được gọi là Yahoo Thời tiết (nó cho bạn biết thời tiết) đã đến. Môi trường hợp tác mới của Yahoo, cô nói, làm cho nó có thể cho một người nào đó từ nhóm thời tiết và một người nào đó từ nhóm Flickr gặp nhau một cách ngẫu hứng trên khuôn viên của Yahoo. Và đó
Nhưng điều quan trọng nhất Mayer nói là cô ấy không đặc biệt chống lại telecommuting, chỉ là nó "không phù hợp với chúng tôi, ngay bây giờ." Cô ấy có một điểm. Liên lạc không làm việc cho 100% các công ty 100 phần trăm thời gian, nhưng vị trí là một chút mỉa mai cho quyết định trước đó của Mayer là Giám đốc điều hành. Là một trong những đơn hàng kinh doanh đầu tiên của cô vào năm ngoái, cô đã cung cấp cho mọi nhân viên một chiếc điện thoại thông minh mới. Trong thông báo của mình cho nhân viên,