ssh chroot 设置
目的
让特定的用户登录linux服务器后,对其操作权限进行限制:
- 不能使用任何方式杀掉服务器现有的进程
- 最好只能查看相关的目录和文件
- 最好只能运行特定的命令,比如cat、ls、tail等
场景模拟
一台nignx服务器,开发人员需要登录到这台服务上查看nginx的错误日志,并能够上传修改后的nginx.conf文件,但是没有权限重启nginx进程。
想让新修改的nginx.conf文件生效,需要运维人员介入。
操作步骤
- 给开发人员创建帐号并设置密码
# useradd developer # echo ‘123456‘ | passwd --stdin developer
- 修改sshd_config配置文件,并重启ssh服务
# echo ‘Match User developer‘ >> /etc/ssh/sshd_config # echo ‘ChrootDirectory /home/developer‘ >> /etc/ssh/sshd_config # sed -i ‘s/^Subsystem.*$/Subsystem sftp internal-sftp/‘ /etc/ssh/sshd_config # systemctl restart sshd
- 在上面规定的ChrootDirectory的目录下创建dev bin etc lib64 home等文件夹
# cd /home/developer # mkdir ./{dev,etc,bin,lib64,home}
- 设置dev文件夹
# cd /home/developer/dev # mknod -m 666 null c 1 3 # mknod -m 666 tty c 5 0 # mknod -m 666 zero c 1 5 # mknod -m 666 random c 1 8
- 设置bin文件夹
# cd /home/developer/bin # cp /bin/bash . # chroot=/home/developer #定一个变量,赋值为ChrootDirectory定义的路径 # for i in `ldd /bin/bash | awk ‘{print $3}‘| grep ‘^/lib‘`;do cp -v $i $chroot/lib64/;done # for i in `ldd /bin/bash | awk ‘{print $1}‘| grep ‘^/lib‘`;do cp -v $i $chroot/lib64/;done
- 设置etc文件夹
# cd /home/developer/etc # cp /etc/passwd /etc/group . # echo ‘export PATH=$PATH:/bin‘ > profile
- 设置ChrootDirectory文件夹的权限,至此,可以使用登录了,但只能运行bash的内置命令
# chroot=/home/developer #定一个变量,赋值为ChrootDirectory定义的路径 # chown -R root.root $chroot # chmod 755 $chroot
- 给用户添加ls命令
# cd /home/developer/bin # which ls #找到ls的路径,可以看到ls位于/usr/bin/ls,这个路径记下后续有用 # cp /usr/bin/ls . #把ls拷贝到bin下 # ldd /usr/bin/ls #查看ls命令所依赖的共享包 # chroot=/home/developer #定一个变量,赋值为ChrootDirectory定义的路径 # for i in `ldd /usr/bin/ls | awk ‘{print $3}‘| grep ‘^/lib‘`;do cp -v $i $chroot/lib64/;done # for i in `ldd /usr/bin/ls | awk ‘{print $1}‘| grep ‘^/lib‘`;do cp -v $i $chroot/lib64/;done
- 同第8节,添加所需要的命令(例如ls、cat、vi、tail、sftp等),遵循以下几个步骤
① 查找命令在系统中的实际位置,并拷贝到bin目录下(此bin非系统的bin)
② 用ldd命令查找出命令运行时所依赖的共享包
③ 把这些共享包拷贝到lib64下(同样,此lib64非系统的lib64)
④ 可参考第8节,理解这几个步骤,可考虑写个脚本
#!/bin/bash cmdlist="/bin/bash /bin/ls /bin/cp /bin/mkdir /bin/mv /bin/rm /bin/rmdir /usr/bin/ssh /usr/bin/id" # chroot路径 chroot_path="/data" # 判断依赖的库文件 lib_1=`ldd $cmdlist | awk ‘{ print $1 }‘ | grep "/lib" | sort | uniq` lib_2=`ldd $cmdlist | awk ‘{ print $3 }‘ | grep "/lib" | sort | uniq` # 复制命令文件 for i in $cmdlist do if [ ! -d `dirname ${chroot_path}$i` ];then mkdir -p `dirname ${chroot_path}$i` fi cp -a $i ${chroot_path}$i && echo "$i done" done # 复制依赖的库文件(因为是i386,所以是lib,如果是x86_64,则是lib64,) for j in $lib_1 do if [ ! -d `dirname ${chroot_path}$j` ];then mkdir -p `dirname ${chroot_path}$j` fi cp -f $j ${chroot_path}$j && echo "$j done" done for k in $lib_2 do if [ ! -d `dirname ${chroot_path}$k` ];then mkdir -p `dirname ${chroot_path}$k` fi cp -f $k ${chroot_path}$k && echo "$k done" done
- 常见问题
① 执行for循环的时候,cp会提示文件覆盖,这是因为cp实际是cp -i 的别名,去掉别名即可。
② 按照上面的操作,ChrootDirectory是/home/developer,这个目录可以随便指定,假设上述nginx的日志在/var/log/nginx下,则指定ChrootDirectory为/var/log/nginx。
模拟结果
使用developer用户登录服务器的时候,只能运行添加的命令。特别的,需要文件传输的时候,还可以添加sftp命令。
相关推荐
projava 2020-11-14
WanKaShing 2020-11-12
airfish000 2020-09-11
tryfind 2020-09-14
yegen00 2020-09-10
kkaazz 2020-09-03
风语者 2020-09-02
BraveWangDev 2020-08-19
lichuanlong00 2020-08-15
gsl 2020-08-15
pandaphinex 2020-08-09
yhuihon 2020-08-09
CheNorton 2020-08-02
xiangqiao 2020-07-28
hpujsj 2020-07-26
hpujsj 2020-07-26
sshong 2020-07-19
BraveWangDev 2020-07-19
annan 2020-07-18