ฉันเริ่มต้นเป็น บริษัท โฮสติ้งเล็ก ๆ สำหรับเพื่อนสนิทและลูกค้ารายย่อย
ฉันต้องการให้สิทธิ์แก่ "ลูกค้า" ในการจัดการไฟล์ของพวกเขาบนเซิร์ฟเวอร์ ฉันเกลียด FTP เนื่องจากไม่ปลอดภัยและอยู่ในความคิดของฉันล้าสมัย
ดังนั้นฉันต้องการอนุญาตให้ผู้ใช้ของฉันเชื่อมต่อผ่าน SFTP แต่ไม่อนุญาตให้พวกเขาเชื่อมต่อผ่าน SSH (ฉันรู้ว่าฉันรู้ SFTP ใช้ SSH) แต่ฉันแค่สงสัยว่ามันเป็นไปได้หรือไม่
ดังนั้นฉันไม่ต้องติดตั้งบริการ FTP บนเซิร์ฟเวอร์และทุกอย่างจะยอดเยี่ยม!
คำตอบ:
เริ่มต้นด้วยรุ่น 4.9 OpenSSH (ไม่มีใน centos 5.x แต่ฟีเจอร์ ChrootDirectory ได้รับการ backported) มีinternal-sftpระบบย่อย:
Subsystem sftp internal-sftp
แล้วบล็อกการใช้งานอื่น ๆ :
Match group sftponly
ChrootDirectory /home/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
เพิ่มผู้ใช้ของคุณในsftponlyกลุ่ม คุณมีการเปลี่ยนแปลง homedirectory ของผู้ใช้เพื่อ/เพราะ chroot และควรจะเป็นเจ้าของโดย/home/user rootฉันจะตั้ง/bin/falseเป็นเปลือกของผู้ใช้
Checkout rssh ซึ่งเป็นเชลล์ปลอมที่อนุญาตให้ใช้ sftp แต่ปฏิเสธ ssh
เพิ่มเติมเกี่ยวกับ RSSH
http://www.pizzashack.org/rssh/
RPMs
http://pkgs.repoforge.org/rssh/
คุณสามารถกำหนดค่า rssh เพื่ออนุญาต / ปฏิเสธพฤติกรรมที่แตกต่างเช่น sft, scp เป็นต้น
คุณสามารถแก้ไข / etc / passwd และให้เชลล์แก่ผู้ใช้นั้นเพื่อให้เขาไม่สามารถใช้ ssh ได้
/bin/falsessh หรือ sftp ทำงานไม่ได้
ฉันใช้วิธีการระบุเชลล์ผู้ใช้เป็น / bin / false ดังกล่าว อย่างไรก็ตามคุณต้องมั่นใจว่า / bin / shell อยู่ใน / etc / shells จากนั้นก็ใช้งานได้ ssh = no ftp = ok
ฉันยังใช้ vsftpd และเพิ่ม
chroot_local_user = YES นี้เพื่อ/etc/vsftpd/vsftpd.conf เพื่อให้ ftp-ers ไม่สามารถเห็นวันอื่น ๆ ได้ด้วยตนเอง
ข้อดีของการเปลี่ยนแปลงง่ายๆคือไม่มีการกำหนดค่าที่น่ารำคาญสำหรับการกำหนดค่า ssh สำหรับผู้ใช้แต่ละคน
อย่าลืมที่จะหาบรรทัดUsePAM yesและแสดงความคิดเห็น:
#UsePAM yes
หากไม่มีการปิดใช้งานสิ่งนี้เซิร์ฟเวอร์ SSH ของคุณจะผิดพลาดในการโหลด / รีสตาร์ท เนื่องจากคุณไม่ต้องการฟังก์ชั่นแฟนซีของ PAM นี่เป็นเรื่องปกติ
การกำหนดค่า SSH เพื่อเปิดใช้งานเพียง SFTP สำหรับผู้ใช้ที่เลือกบางส่วนเป็นความคิดที่ดีและทำงานอย่างถูกต้องโดยที่คุณที่คุณติดตั้งอย่างใดอย่างหนึ่งหรือscponlyrssh
rsshใช้งานได้ดีเว้นแต่คุณจะต้องกำหนดค่าคุกในกรณีนี้ลองทำตามคำแนะนำของคู่มือ CHROOT ซึ่งนำไปสู่การ "คัดลอก" ส่วนใหญ่ของระบบปฏิบัติการและไลบรารีด้านล่าง "คุกผู้ใช้แต่ละคน" รวมถึงrsshเชลล์เอง มันเป็นวิธีการเสียพื้นที่
scponly จำเป็นต้องมีความเข้าใจอย่างลึกซึ้งในการกำหนดค่าที่นำไปสู่ปัญหาในปัจจุบันของการปฏิเสธการเข้าสู่ระบบในกรณีของการติดตั้งคุก
วิธีที่ตรงไปตรงมาเพื่อให้ฟังก์ชั่น "ftp" กับคุกทำงานอย่างถูกต้องรองรับ SSL / TLS สำหรับการทำธุรกรรมที่ปลอดภัยและการเข้าสู่ระบบคือการใช้ VSFTPD "เก่า - แต่ - ทำงาน" ซึ่งติดตั้งได้อย่างรวดเร็วและหมดจด แต่ไม่ท้ายสุดมันใช้งานได้!
Maurizio
คำตอบทั้งหมดทำให้เข้าใจผิดอย่างมากโชคไม่ดี: โปรดทำสิ่งต่อไปนี้:
ขั้นแรกให้สร้างผู้ใช้ sftp และกลุ่ม sftp
สร้างไดเรกทอรีแยกเป็น root สำหรับไฟล์ SFTP: sudo mkdir -p /home/sftpdir
#$OpenBSD: sshd_config,v 1.101 2017/03/14 07:19:07 djm Exp $ # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information. # This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin # The strategy used for options in the default sshd_config shipped with # OpenSSH is to specify options with their default value where # possible, but leave them commented. Uncommented options override the # default value. Port 38250 Port 22 PasswordAuthentication no ChallengeResponseAuthentication no # Set this to 'yes' to enable PAM authentication, account processing, # and session processing. If this is enabled, PAM authentication will # be allowed through the ChallengeResponseAuthentication and # PasswordAuthentication. Depending on your PAM configuration, # PAM authentication via ChallengeResponseAuthentication may bypass # the setting of "PermitRootLogin without-password". # If you just want the PAM account and session checks to run without # PAM authentication, then enable this but set PasswordAuthentication # and ChallengeResponseAuthentication to 'no'. UsePAM yes X11Forwarding yes PrintMotd no # Allow client to pass locale environment variables AcceptEnv LANG LC_* #DenyUsers sftpuser # override default of no subsystems Subsystem sftp internal-sftp Match group sftp Match User sftpuser Match LocalPort 38250 ForceCommand internal-sftp ChrootDirectory /home/sftpdir PermitTunnel no AllowAgentForwarding no X11Forwarding no AllowTcpForwarding no
รีสตาร์ทและตรวจสอบสถานะของบริการ sshd
บริการ sudo รีสตาร์ท sshd
สถานะบริการ sshd
สร้างไฟล์เชลล์ เพิ่มการดำเนินการเพื่อสะท้อนข้อความแจ้งเตือน
sudo touch / bin / sftponly echo -e '#! / bin / sh \ necho "บัญชีนี้ถูก จำกัด การเข้าถึง SFTP เท่านั้น"' | sudo tee -a / bin / sftponly
ให้สิทธิ์การดำเนินการและผนวกเข้ากับไฟล์ shells
sudo chmod a + x / bin / sftponly echo "/ bin / sftponly" | sudo tee -a / etc / shells
ในที่สุดการทดสอบและคุณไม่ควรเชื่อมต่อได้
เทมเพลตที่ใช้ไคลเอนต์ SFTP ด้วยคีย์ SSH และ verbosity พื้นฐาน:
sftp -v -oPort = $ RANDOM_PORT -i ~ / .ssh / $ SSH_KEY.pem sftpuser @ $ HOST