热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

使用SFTP密钥进行根目录不受限制的指定(第三部分)

20190127之前限制ChrootDirectory之后,需要对原有环境改造较多1.之前配置的网站都是直接存在在了varwww2、还没有部署网站的新服务器&#x

20190127 之前限制 ChrootDirectory 之后,需要对原有环境改造较多

1. 之前配置的网站都是直接存在在了 /var/www
2、还没有部署网站的新服务器,完全可行!
3、尝试了使用 ln 软连接 ,如果已经部署的网站较少,还是可行的,需要转移的网站代码比较少
4. ChrootDirectory 对于目录要求很严,必须所有人是 root ,供上传的子目录最好 chmod 777
5. /var/www 之前的来源很杂,有的所有人是root,有的是其他用户

1、目标和思路分析

1. 使用密钥方式 SFTP 相对安全
2. 不允许 SFTP 账号 ssh 登录
3. 直接 SFTP 登录直接指向 /var/www
4. 已经有 vsftp 存在,不能一刀切就停用 vsftp结论:我们需要一个账户
1. 限制它只能使用 SFTP
2. 不能使用 ssh
3. 他的 home 目录直接指向 /var/www

2、实施

1. 建立新用户,指定 home 为 /var/wwwuseradd -d /var/www dhbm162
2. 设置密码passwd dhbm162 ** 以下限制登录,可以在测试完成之后进行禁止登录sudo usermod -s /usr/sbin/nologin dhbm162 或者 禁止shellsudo usermod -s /bin/false dhbm162 恢复登录sudo usermod -s /bin/bash dhbm162 3. 修改 sshd_configsudo vim /etc/ssh/sshd_config添加以下 Match User 规则#################### add by wzh 2019017 only SFTP usersMatch User dhbm162ForceCommand internal-sftp# ChrootDirectory /home/dhbm162/www/** 注释掉之前的 ChrootDirectorysudo systemctl restart sshd4. 复制公钥文件,并修改 .ssh 权限sudo cp -R /home/dhbm/.ssh /var/wwwsudo chmod -R 755 /var/www/.ssh同时修改 /var/wwwsudo chmod -R 777 /var/www

3、 测试

1. 测试 sshssh dhbm162@192.168.1.162This service allows sftp connections only.Connection to 192.168.1.162 closed.2. 测试 SFTPsftp dhbm162@192.168.1.162Connected to dhbm162@192.168.1.162.sftp> 3. 测试 FileZilla
新建站点

结果


4、 结论

以上方案虽然没有限制 sftp 用户 ChrootDirectory,但是,使用密钥方式,保证了一定的安全
直接指定了 /var/www 目录,维持了过去 vsftp 的操作习惯

5、后续问题

以上 sudo chmod -R 777 /var/www 应该是不安全的做法!网站文件任何人都可以修改?还是需要指定拥有人才可以读写,其他人不可写!
如果有需要写权限的 uplaod 目录,必须手动单独修改!sudo chmod -R 755 /var/wwwsudo chown -R XXXX162:XXXX162 /var/www** 现在有点儿理解 ChrootDirectory 的根目录为什么最大只能 755 了!

推荐阅读
  • 解决MacOS Catalina升级后VMware Fusion黑屏问题的详细指南
    本文深入探讨了如何在MacOS Catalina升级后解决VMware Fusion黑屏的问题。通过详细的步骤和代码示例,帮助用户快速恢复虚拟机的正常运行,并提供了额外的安全建议。适用于希望提升工作效率或学习新技术的读者。 ... [详细]
  • 本文详细介绍了如何在Linux系统上安装和配置Smokeping,以实现对网络链路质量的实时监控。通过详细的步骤和必要的依赖包安装,确保用户能够顺利完成部署并优化其网络性能监控。 ... [详细]
  • 本文详细介绍了Java编程语言中的核心概念和常见面试问题,包括集合类、数据结构、线程处理、Java虚拟机(JVM)、HTTP协议以及Git操作等方面的内容。通过深入分析每个主题,帮助读者更好地理解Java的关键特性和最佳实践。 ... [详细]
  • DNN Community 和 Professional 版本的主要差异
    本文详细解析了 DotNetNuke (DNN) 的两种主要版本:Community 和 Professional。通过对比两者的功能和附加组件,帮助用户选择最适合其需求的版本。 ... [详细]
  • 本文详细分析了Hive在启动过程中遇到的权限拒绝错误,并提供了多种解决方案,包括调整文件权限、用户组设置以及环境变量配置等。 ... [详细]
  • 本文详细介绍了macOS系统的核心组件,包括如何管理其安全特性——系统完整性保护(SIP),并探讨了不同版本的更新亮点。对于使用macOS系统的用户来说,了解这些信息有助于更好地管理和优化系统性能。 ... [详细]
  • 在现代网络环境中,两台计算机之间的文件传输需求日益增长。传统的FTP和SSH方式虽然有效,但其配置复杂、步骤繁琐,难以满足快速且安全的传输需求。本文将介绍一种基于Go语言开发的新一代文件传输工具——Croc,它不仅简化了操作流程,还提供了强大的加密和跨平台支持。 ... [详细]
  • 深入解析 Spring Security 用户认证机制
    本文将详细介绍 Spring Security 中用户登录认证的核心流程,重点分析 AbstractAuthenticationProcessingFilter 和 AuthenticationManager 的工作原理。通过理解这些组件的实现,读者可以更好地掌握 Spring Security 的认证机制。 ... [详细]
  • 本文介绍如何在现有网络中部署基于Linux系统的透明防火墙(网桥模式),以实现灵活的时间段控制、流量限制等功能。通过详细的步骤和配置说明,确保内部网络的安全性和稳定性。 ... [详细]
  • 本文详细介绍如何在Linux系统中配置SSH密钥对,以实现从一台主机到另一台主机的无密码登录。内容涵盖密钥对生成、公钥分发及权限设置等关键步骤。 ... [详细]
  • 在Fedora 31上部署PostgreSQL 12
    本文详细介绍如何在Fedora 31操作系统上安装和配置PostgreSQL 12数据库。包括环境准备、安装步骤、配置优化以及安全设置,确保数据库能够稳定运行并提供高效的性能。 ... [详细]
  • 并发编程 12—— 任务取消与关闭 之 shutdownNow 的局限性
    Java并发编程实践目录并发编程01——ThreadLocal并发编程02——ConcurrentHashMap并发编程03——阻塞队列和生产者-消费者模式并发编程04——闭锁Co ... [详细]
  • 1:有如下一段程序:packagea.b.c;publicclassTest{privatestaticinti0;publicintgetNext(){return ... [详细]
  • 数据管理权威指南:《DAMA-DMBOK2 数据管理知识体系》
    本书提供了全面的数据管理职能、术语和最佳实践方法的标准行业解释,构建了数据管理的总体框架,为数据管理的发展奠定了坚实的理论基础。适合各类数据管理专业人士和相关领域的从业人员。 ... [详细]
  • 对象自省自省在计算机编程领域里,是指在运行时判断一个对象的类型和能力。dir能够返回一个列表,列举了一个对象所拥有的属性和方法。my_list[ ... [详细]
author-avatar
mobiledu2502876733
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有