热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

通过密钥SFTP(三):SFTP账户指定(不是限定)根目录

2019独角兽企业重金招聘Python工程师标准20190127之前限制ChrootDirectory之后,需要对原有环境改造较多1.之前配置的网站都是直接存在

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

20190127 之前限制 ChrootDirectory 之后,需要对原有环境改造较多

1. 之前配置的网站都是直接存在在了 /var/www
2、还没有部署网站的新服务器,完全可行!
3、尝试了使用 ln 软连接 ,如果已经部署的网站较少,还是可行的,需要转移的网站代码比较少
4. ChrootDirectory 对于目录要求很严,必须所有人是 root ,供上传的子目录最好 chmod 777
5. /var/www 之前的来源很杂,有的所有人是root,有的是其他用户

1、目标和思路分析

1. 使用密钥方式 SFTP 相对安全
2. 不允许 SFTP 账号 ssh 登录
3. 直接 SFTP 登录直接指向 /var/www
4. 已经有 vsftp 存在,不能一刀切就停用 vsftp结论:我们需要一个账户
1. 限制它只能使用 SFTP
2. 不能使用 ssh
3. 他的 home 目录直接指向 /var/www

2、实施

1. 建立新用户,指定 home 为 /var/wwwuseradd -d /var/www dhbm162
2. 设置密码passwd dhbm162 ** 要求密钥方式,所以,密码无需告知上传网站的程序员
3. 修改 sshd_configsudo vim /etc/ssh/sshd_config添加以下 Match User 规则#################### add by wzh 2019017 only SFTP usersMatch User dhbm162ForceCommand internal-sftp# ChrootDirectory /home/dhbm162/www/** 注释掉之前的 ChrootDirectorysudo systemctl restart sshd4. 复制公钥文件,并修改 .ssh 权限sudo cp -R /home/dhbm/.ssh /var/wwwsudo chmod -R 755 /var/www/.ssh同时修改 /var/wwwsudo chmod -R 777 /var/www

3、 测试

1. 测试 sshssh dhbm162@192.168.1.162This service allows sftp connections only.Connection to 192.168.1.162 closed.2. 测试 SFTPsftp dhbm162@192.168.1.162Connected to dhbm162@192.168.1.162.sftp> 3. 测试 FileZilla
新建站点

结果

4、 结论

以上方案虽然没有限制 sftp 用户 ChrootDirectory,但是,使用密钥方式,保证了一定的安全
直接指定了 /var/www 目录,维持了过去 vsftp 的操作习惯

5、后续问题

以上 sudo chmod -R 777 /var/www 应该是不安全的做法!网站文件任何人都可以修改?还是需要指定拥有人才可以读写,其他人不可写!
如果有需要写权限的 uplaod 目录,必须手动单独修改!sudo chmod -R 755 /var/wwwsudo chown -R XXXX162:XXXX162 /var/www** 现在有点儿理解 ChrootDirectory 的根目录为什么最大只能 755 了!


转:https://my.oschina.net/u/1440971/blog/3006426



推荐阅读
author-avatar
诸暨巴黎婚纱
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有