OpenSSH的Chroot设置

最新推荐文章于 2024-07-11 09:10:06 发布
最新推荐文章于 2024-07-11 09:10:06 发布
阅读量1k 收藏
点赞数
分类专栏: linux 文章标签: linux
修改  /etc/ssh/sshd_config
#注释原本的Subsystem设置
#Subsystem    sftp    /usr/libexec/openssh/sftp-server
 
#启用internal-sftp
Subsystem       sftp    internal-sftp
 
Match Group   ftpuser
ChrootDirectory   /vhost
ForceCommand    internal-sftp
 
 
 
需要注意的是/vhost目录所有者必须为root, 并且目录权限必须为755, 否则组内用户无法登陆
组内用户仅对 /vhost内部的目录有权限,所以需要对子目录设置为775权限,如果设置chroot前内部目录已经存在,
不能通过chmod统一设置(会覆盖掉一些权限为777的目录), 此时可以通过acl命令
为目录设置额外权限
apt-get install acl
setfacl -R -d -m g:ftpuser:rwx /vhost   #对所有子目录设置默认ACL权限,从目录下创建文件会继承
setfacl -R -m g:ftpuser:rwx /vhost      #对子目录下所有文件及目录设置ACL权限
可以通过getfacl查看ACL权限是否设置成功
【SFTP禁锢用户实践】sshd配置文件中关于ChrootDirectoy的详细说明
SunMy的博客
05-16 974
在sshd配置文件中的Match模块中,ChrootDirectory字段用于指定在用户进行SSH会话时,其根目录被限定在指定的目录中。具体来说,ChrootDirectory字段可以用来创建一个被限制的环境,将用户限制在指定的目录中,防止其访问系统中的其他文件和目录。禁锢用户用的,光改这个么的用,被禁锢的目录必须是指定的署主和属组,并且从指定的目录到根目录不能高于755及以上的权限。6.修改sftpiser家目录,署主改为root,属组改为sftponly。7.再次重启sshd服务就能连上了。
opensshchroot配置指南
weixin_34260991的博客
06-19 241
最近有这么一个需求,根据公司安全部的要求,需要在IDC放一台登录跳板,以后用户访问IDC内的服务器都必须先登录跳板服务器,然后再ssh到其他服务器。安全部要求安全最大化,普通用户登陆到这台跳板以后只能执行ssh,ls等有限的基础命令。另外要求把用户锁定在特定目录下,这样即使被hack,也不会影响其他用户。在openssh 4.8p1以前的版本,要支持chroot,必须使用第三...
SFTP+OpenSSH+ChrootDirectory设置
weixin_34216107的博客
07-15 429
账户设置 SFTP的账户直接使用Linux操作系统账户,我们可以用useradd命令来创建账户。 首先建立3个要管理的目录:   1 2 3 mkdir /home/sftp/homepage mkdir /home/sftp/blog mkdir /home/sftp/pay 创建sftp组和www、blog、pay...
利用openssh实现chroot监牢
系统运维
10-09 209
我们不想让SSH 登陆的用户随意浏览我系统的文件,只给他固定在指定地方活动。 环境:Red Hat Enterprise Linux Server release 6.2 openssh 需要4.7p 以上版本 建立一个允许ssh的登陆用户 [root@localhost ~]# useradd gao 更改用户的密码 [root@localhost ~]# passwd gao C...
openssh-8.8p1.tar.gz
12-09
此外,OpenSSH还提供了密钥管理和访问控制功能,例如限制用户只允许从特定IP地址或使用特定密钥登录,以及使用Chroot Jail技术隔离用户环境,提高系统安全性。 OpenSSH的持续更新和维护对于保障网络服务的安全性至...
centos7升级openssh9.8
weixin_43806846的博客
07-11 728
openssh升级
Android系统_MTK_android12_集成openssh
王涛的博客
03-18 675
因之前文章已经讲解了具体集成openssh,此文章将不再概述,因为不同平台原理一样,只是每个平台权限添加和openssh版本可能不同。
windows openssh服务端配置了ChrootDirectory D:/ssh,应该如何设置权限才能正常工作
07-09
我们正在处理关于在Windows OpenSSH服务器上配置ChrootDirectory权限设置的问题。用户希望将ChrootDirectory设置为D:/ssh。 根据OpenSSH的文档,ChrootDirectory用于在用户登录后将其限制在指定的目录内。在Windows...
openssh server配置默认目录(chrootDirectory )
徐同保的专栏
10-11 2041
ChrootDirectory C:\Jenkins\workspace
Linux openssh sftp 设置 ChrootDirectory 之后无法登录 的 解决办法
xufulin2的博客
01-19 2299
Linux openssh sftp 设置 ChrootDirectory %h 之后无法登录 的 原因很简单 https://serverfault.com/a/990649/586524 意思就是需要将那个被 chroot 的目录的拥有者设置成 root 举个例子: ChrootDirectory /home/sftp_share 那就需要执行命令:chown root:root /home/sftp_share 问题就解决了。就是这么简单。。 ...
ssh的chroot配置
热门推荐
yanggd1987的专栏
01-10 1万+
需求   普通用户通过ssh登陆到跳板机后,再通过ssh跳转到内网其他服务器。跳板机只提供ssh、ls等基本命令,禁止scp、sftp、管道等以防数据传输到本地;另外用户登陆后需要将其锁定在特定的目录下,防止用户浏览服务器数据。    通常情况下我们使用磁盘限额来限制用户传输数据,但是磁盘限额必须是针对独立的磁盘分区,而不能够是文件目录,因此用户家目录必须是独立挂载的,若是放在根目录下,配置磁盘限
openssh允许root用户登录
weixin_34345753的博客
05-03 4237
openssh默认是不允许root用户登录的,未改配置直接以正确的root账号密码登录会提示用户名密码错误之类。 好消息是openssh配置十分清晰,基本所有的服务端配置都在/etc/ssh/sshd_config,修改对应项的值即可。 对于允许root账号登录,找到PermitRootLogin项将其值改为yes,即可(如果其前有#注释则去掉#) 当然最后还要重启openssh(感觉不懂是不...
OpenSSH后门获取root密码
weixin_34034261的博客
03-30 349
1. 查看sshd系统版本 [root@huangzp2 src]# ssh -V OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 20132. 解压版本,其中patch为补丁包 tar -zxvf 0x06-openssh-5.9p1.patch.tar.gz tar -zxvf openssh-5.9p1.tar...
完全使用SFTP替代FTP:SFTP+OpenSSH+ChrootDirectory设置详解
gong_xucheng的专栏
09-16 3175
原文地址: 由于采用明文传输用户名和密码,FTP协议是不安全的。在同一机房中只要有一台服务器被攻击者控制,它就可能获取到其它服务器上的FTP密码,从而控制其它的服务器。 当然,很多优秀的FTP服务器都已经支持加密。但如果服务器上已经开了SSH服务,我们完全可以使用SFTP来传输数据,何必要多开一个进程和端口呢? 下面,我就从账户设置、SSH设置、权限设置这三个方面来讲讲如何使用SFTP完全替
使用openssh的新特性构建chroot环境
weixin_34185320的博客
07-31 129
一、简述: chroot 即 change root directory (更改 root 目录) 。在 linux 系统中,系统默认的目录结构都是以 `/`,即是以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 `/` 位置。 二、为什么要使用chroot 在经过 chroot 之后,系统读取到的目录和...
Linux开启SSH并运行root登录
INNER_PEACE_DS的博客
03-25 2390
Linux开启SSH并运行root登录
linux ssh 锁定目录,sshd使用chroot锁定用户目录
weixin_39690401的博客
05-13 251
缘由在centos上新建一个用户(lockeduser),这个用户使用ssh登录,登录后锁定在家目录(/home/lockeduser)对于用户来说,/home/lockeduser就是他能看到的/目录。这个用户只让他看到某个系统日志(如message),那就把/var/message链接到他的home目录(root视野)用户登录后,就能看到message在/目录下,当然还要给用户查看工具,如ca...
擂台赛-安全攻防之使用openssh后门获取root密码实战
低调,谦虚,自律,反思,成长,保持热爱,奔赴梦想
03-17 4221
安全从来无小事,防范意识勿放松,安全攻防之openssh后门获取root密码实战
openssh使用的用户是system
最新发布
07-09
<think>我们正在配置Windows OpenSSH服务端的ChrootDirectory,并且特别关注如何为SYSTEM用户设置权限。在Windows中,OpenSSH服务通常以SYSTEM账户运行,因此我们需要确保SYSTEM账户对Chroot目录有适当的权限。 根据OpenSSH的官方文档和Windows权限模型,ChrootDirectory必须满足以下条件: 1. 目录的所有者必须是SYSTEM或Administrators。 2. 目录不能有其他用户的写权限(除了SYSTEM和Administrators)。 3. 目录必须允许SYSTEM账户完全控制(因为SSH服务以SYSTEM身份运行)。 4. 目录的父目录也必须满足相同的权限要求(直到根目录)。 具体步骤: 1. 创建Chroot目录(如果尚未创建): ``` mkdir D:\ssh ``` 2. 设置目录权限: 我们需要使用icacls命令设置权限。由于SYSTEM账户是服务运行账户,必须拥有完全控制权限。同时,为了安全,我们移除继承权限,并设置最小权限。 以管理员身份打开PowerShell,执行以下命令: ```powershell # 移除继承权限,并复制现有权限 icacls "D:\ssh" /inheritance:r # 授予SYSTEM账户完全控制权限(递归) icacls "D:\ssh" /grant "NT AUTHORITY\SYSTEM:(OI)(CI)F" # 授予Administrators组完全控制权限(递归) icacls "D:\ssh" /grant "Administrators:(OI)(CI)F" # 移除其他所有用户的权限(可选,但为了安全,我们可以移除Users组的权限,如果不需要的话) icacls "D:\ssh" /remove "Users" ``` 注意:`(OI)`代表对象继承,`(CI)`代表容器继承,`F`代表完全控制。 3. 配置sshd_config: 打开`C:\ProgramData\ssh\sshd_config`文件,添加或修改以下配置: ``` Subsystem sftp internal-sftp Match Group chrootgroup # 或者使用Match User指定用户 ChrootDirectory D:/ssh ForceCommand internal-sftp AllowTcpForwarding no PermitTunnel no X11Forwarding no ``` 注意:这里使用正斜杠`D:/ssh`,并且目录路径是绝对路径。 4. 创建用户和组(如果需要): 将需要被chroot的用户加入一个组(例如chrootgroup),然后在Match语句中使用该组。 5. 重启服务: ```powershell Restart-Service sshd ``` 6. 测试: 使用一个属于chrootgroup组的用户登录,检查是否被限制在D:\ssh目录内。 重要提示: - 在ChrootDirectory下,用户需要访问一些必要的文件和目录(如shell、命令等)才能进行交互式登录。但是,如果我们使用的是SFTP(ForceCommand internal-sftp),则不需要这些,因为SFTP不需要shell。 - 如果用户需要交互式shell,则需要在ChrootDirectory内创建必要的目录结构(如bin, lib等)并复制所需的程序及其依赖。在Windows中,这通常很复杂,因此通常建议仅使用SFTP。 对于SYSTEM用户,我们主要关注的是服务运行账户(SYSTEM)对目录的权限。上述权限设置已经满足了SYSTEM账户完全控制的需求。 如果遇到登录问题,请检查事件查看器(Event Viewer)中的Windows日志>应用程序,查找来自OpenSSH的错误信息。 引用说明: - 根据OpenSSH文档,ChrootDirectory必须由root(在Windows中对应SYSTEM或Administrators)拥有,且其他用户不能有写权限[^1]。 - Windows权限设置使用icacls命令,确保最小权限原则[^4]。 相关问题: 1. 如何解决Windows OpenSSH ChrootDirectory配置后用户登录失败的问题? 2. 在Windows环境下,如何为ChrootDirectory内的用户提供基本的shell访问? 3. 如何配置Windows OpenSSH以允许SFTP用户上传文件到ChrootDirectory? 4. Windows OpenSSHChrootDirectory与Linux下的配置有哪些主要差异?</think>### Windows OpenSSH ChrootDirectory配置指南(适配SYSTEM用户) 在Windows OpenSSH服务中为`ChrootDirectory D:/ssh`配置SYSTEM用户权限时,需严格遵循以下步骤: #### 1. **目录权限设置(核心步骤)** ```powershell # 移除所有继承权限 icacls "D:\ssh" /inheritance:r # 授予SYSTEM用户完全控制权限(必须) icacls "D:\ssh" /grant "NT AUTHORITY\SYSTEM:(OI)(CI)F" # 授予Administrators组完全控制权限(可选) icacls "D:\ssh" /grant "Administrators:(OI)(CI)F" # 移除其他所有用户权限(关键安全措施) icacls "D:\ssh" /remove "Users" /remove "Authenticated Users" /remove "Everyone" ``` **权限要求**: - **SYSTEM用户必须拥有完全控制权限**(F标志),因为OpenSSH服务以SYSTEM身份运行[^1] - 禁止其他任何用户写入权限(W标志) - 目录所有权必须属于SYSTEM或Administrators[^4] #### 2. **sshd_config配置** ```config # 启用SFTP子系统 Subsystem sftp internal-sftp # 应用Chroot规则 Match Group chrootgroup # 或指定用户 Match User username ChrootDirectory D:/ssh # 必须使用正斜杠 ForceCommand internal-sftp AllowTcpForwarding no PermitTunnel no X11Forwarding no ``` #### 3. **用户目录创建(可选)** 若需为不同用户创建独立目录: ```powershell mkdir D:\ssh\user1 icacls "D:\ssh\user1" /grant "username:(OI)(CI)M" # M=修改权限 ``` #### 4. **服务重启与验证** ```powershell Restart-Service sshd # 测试连接 sftp -v user@localhost ``` #### 5. **关键注意事项** 1. **路径格式**:配置文件中必须使用`D:/ssh`(正斜杠),Windows路径需转换 2. **权限继承**:必须禁用子目录权限继承(`/inheritance:r`) 3. **SYSTEM权限**:确保SYSTEM拥有完全控制(F),否则服务无法访问目录[^1] 4. **日志监控**:检查事件查看器中的SSH错误日志: ```powershell Get-WinEvent -LogName Application -ProviderName OpenSSH | Where-Object {$_.Level -le 3} ``` > 配置完成后,用户将被严格限制在`D:\ssh`目录内,且SYSTEM用户拥有必要的服务访问权限[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值