使用chroot创建高度受限ssh用户

最新推荐文章于 2025-04-07 07:00:00 发布
最新推荐文章于 2025-04-07 07:00:00 发布
阅读量928 收藏
点赞数
分类专栏: linux 文章标签: linux centos chroot 受限 ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40809549/article/details/88063843
版权
本文介绍了如何在 CentOS 6.5 系统上通过 chroot 创建一个高度受限的 SSH 用户,该用户只能访问特定目录并使用指定命令,以提高系统安全性。详细步骤包括新增用户、配置目录、复制关键文件、SSH 配置以及环境和命令配置,以实现日志用户或运营用户的限制登陆需求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

需求:需要一个高度受限ssh用户,只允许其通过ssh登陆、访问指定目录、使用指定命令,以增强系统安全性。

应用场景:日志用户、运营用户;

环境:CentOS 6.5

操作步骤:

1、新增用户、配置目录、复制关键文件

useradd logger

passwd logger

 

mkdir -p /chroot/{etc,dev,proc,lib,bin,lib64,home,usr}

mkdir -p /chroot/usr/bin

mkdir -p /chroot/home/logger

 

cp -a /bin/bash /chroot/bin/

 

cp -a /etc/passwd /chroot/etc/passwd

grep logger /etc/passwd >/chroot/etc/passwd

PS1:上述两条命令如果直接使用grep logger /etc/passwd >/chroot/etc/passwd,会存在权限问题。

PS2:Linux6 基于selinux影响,直接cp会存在权限问题,cp -a 相当于cp -pdr

-p:连同档案的属性一起复制过去,而非使用预设属性;

-d:若来源文件为连结文件的属性(link file),则复制连结文件属性而非档案本身࿱

最低0.47元/天 解锁文章
MYSQL— perror 错误码详情
道行尚浅(老道)的博客
12-04 11万+
[root@localhost ~]# cat test_nothread.py import paramiko import threading import os def ssh2(ip,username,passwd,cmd): file_path='/root/perror.log' logfile=file(file_path,'a') try:
ssh受限用户
u010533742的博客
12-10 182
#!/bin/bash #判断是否已存在用户 grep "log_user" /etc/passwd >/dev/null if [ $? -eq 0 ]; then echo "already exists" exit 0 fi #创建用户 useradd -d /home/log_user -m log_user echo "password" | passwd --stdin log_user #指定文件权限位 mkdir -p /home/log_user/dev/ cd /ho
如何创建git账户的chroot
SweetTool的专栏
03-24 574
最近想搭建一个git仓库给团队使用,虽然git-shell,但是还是想尝试用chroot,于是折腾了一下。 步骤一、 运行脚本 脚本内容请看 https://github.com/SweetTool/MakeChroot/blob/master/create_chroot_sharegit.sh #!/bin/sh # script to automate the crea...
Linux系统之chroot命令详解
最新发布
weixin_56303229的博客
04-07 1176
chroot(Change Root)是一个用于改变进程根目录的命令,使进程及其子进程只能访问指定目录(NEWROOT)下的文件和目录,而无法看到或访问原系统的根目录(/)。它常用于安全隔离、系统恢复、软件测试等场景。
服务器维护需要log日志,Docker:部署Graylog日志管理服务器
weixin_35082950的博客
07-31 803
先看看推荐!国外程序员整理的系统管理员资源大全中,国外程序员整理的日志聚合工具的列表:日志管理工具:收集,解析,可视化Elasticsearch – 一个基于Lucene的文档存储,主要用于日志索引、存储和分析。Fluentd – 日志收集和发出Flume -分布式日志收集和聚合系统Graylog2 -具有报警选项的可插入日志和事件分析服务器Heka -流处理系统,可用于日志聚合Kibana – ...
Cannot open var log sa sa No such file or directory的解决办法
AUZKAY的博客
05-15 1347
16、mysql的innodb如何定位锁问题,mysql如何减少主从复制延迟?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?9、讲述一下Tomcat8005、8009、8080三个端口的含义?7、Tomcat和Resin有什么区别,工作中你怎么选择?3、现在给你三百台服务器,你怎么对他们进行管理?15、讲述一下LVS三种模式的工作过程?
var/log/secure下提示的一些错误的解决
weixin_34166847的博客
09-30 990
var/log/secure下提示的一些错误的解决 文章作者:Enjoy 转载请注明原文链接。今天发现这台rashost的VPS上的空间不够了,发现var/下居然有1.4G,看了下var/log/secure有1G。。。。。。原来是开了proftpd,然后不断有人在试用户名和密码,记录了一大堆这些日志。哎!关闭后,这些日志就消失了。接下来,在secure中还看到了如下这些错误...
Linux使用chroot监狱限制SSH用户访问
"使用chroot监狱限制SSH用户访问指定目录" 在Linux系统中,为了增强安全性,特别是对于web服务器,可以使用chroot监狱(chroot jail)技术来限制SSH用户的访问范围,确保他们只能在特定的目录下进行操作。本文档将...
Linux chroot监禁脚本:增强ssh和sftp安全性
本知识点将围绕标题“linux-chroot-jail:为 ssh、sftp 和 vsftp 监禁 Linux 用户的脚本”展开,深入探讨chroot技术、SSH与SFTP的概念以及脚本的使用方法和原理。 **chroot技术** chroot技术是一种通过改变进程的根...
一键部署限制SSH用户访问特定目录的方法
在脚本中,他们将指定一个目录路径和一个用户名,脚本会自动化地创建用户、设置SSH密钥认证、配置`chroot`环境以及调整文件和目录权限,以确保用户只能访问和操作指定的文件和目录。完成后,第三方人员便可以使用其...
pam_chroot.zip_linux pam _pam模块
09-14
2. **降低风险**:通过限制用户权限,`pam_chroot`降低了用户误操作导致系统不稳定的风险,特别适用于提供网络服务,如FTP服务器、SSH服务器等,可以在不完全信任用户的情况下,给予其有限的访问权限。 3. **资源...
bug:Could not stat xxx --- No such file or directory
qq_59629101的博客
03-04 592
对虚拟机磁盘进行扩容。
Linux安装完MySQL重置密码启动
Ping
12-18 1988
[root@iZ2ze8bpfv23icsz3g2hp2Z ~]# service mysqld start Redirecting to /bin/systemctl start mysqld.service [root@iZ2ze8bpfv23icsz3g2hp2Z ~]# service mysqld status Redirecting to /bin/systemctl status m...
python通过ssh和shell交互
小猪观察员的博客
05-12 3237
import paramiko #创建一个ssh的客户端 ssh = paramiko.SSHClient() #创建一个ssh的白名单 know_host = paramiko.AutoAddPolicy() #加载创建的白名单 ssh.set_missing_host_key_policy(know_host) #连接服务器 ssh.connect( hostname = "192.168.1.1", port = 1288, username = "altfactory..
关于Linux下文件删除文件时提示No such file or directory
weixin_34174105的博客
09-09 1925
尊敬的各位老大: 本人了Linux小白一枚,遇到一点问题想请老大们指点一下今天练习tar命令压缩文件时想给给文件名内增加一个当前年月日 [root@poker log]# tar zcvf log.tar-'date +%F'.gz . 结果把反引号写成单引号用 ls 命令查看发现压缩后的文件名为 log.tardate +%F.gz 意识到自己的错误之后想删除这个文件结果出现 [root@po...
Android 4.2系统的手机使用LEAP企业Wifi网络 ( by quqi99 )
热门推荐
技术并艺术着
12-05 1万+
作者:张华  发表于:2013-12-05 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.youkuaiyun.com/quqi99 ) 大家知道,企业里的wifi很多是采用Cisco公司的LEAP加密的,苹果手机买了LEAP的专利是可以直接用的,但安卓手机不行。试了一些工具,如LBE授权管理,如LEAP Wifi Free均在Andr...
/usr/bin/id: cannot find name for user ID XXXX 一步即可解决
满天星的博客
05-03 2369
/usr/bin/id: cannot find name for user ID XXXX出现原因解决方案 在平时使用Linux时,如果对配置文件进行权限设置可能导致图片所示情况,然后原本应显示用户名的位置被“I have no name!”代替 出现原因 原因是/etc/passwd权限不能读, 同理,/etc/group也可能存在这个问题 解决方案 添加读权限 chmod +r /etc/passwd chmod +r /etc/group ...
排查Linux机器是否已经被入侵
weixin_38169786的博客
09-20 830
随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考 背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [root@hl...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值