通过密钥 SFTP (三):SFTP 账户指定(不是限定)根目录

SFTP安全配置实践
最新推荐文章于 2024-06-19 16:41:45 发布
转载 最新推荐文章于 2024-06-19 16:41:45 发布 · 515 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/1440971/blog/3006426
文章标签:

#运维 #python #开发工具

本文详细介绍了如何通过创建专用SFTP用户、配置SSH服务及权限,实现安全的SFTP文件传输,同时保持与原有vsftp操作习惯一致。通过具体步骤说明如何限制用户仅能使用SFTP、禁用SSH登录,并将用户目录直接指向/var/www,确保网站文件上传的安全性和便捷性。

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

20190127 之前限制 ChrootDirectory 之后,需要对原有环境改造较多

1. 之前配置的网站都是直接存在在了 /var/www
2、还没有部署网站的新服务器,完全可行!
3、尝试了使用 ln 软连接 ,如果已经部署的网站较少,还是可行的,需要转移的网站代码比较少
4. ChrootDirectory 对于目录要求很严,必须所有人是 root ,供上传的子目录最好 chmod 777
5. /var/www 之前的来源很杂,有的所有人是root,有的是其他用户

1、目标和思路分析

1. 使用密钥方式 SFTP 相对安全
2. 不允许 SFTP 账号 ssh 登录
3. 直接 SFTP 登录直接指向 /var/www
4. 已经有 vsftp 存在,不能一刀切就停用 vsftp

结论:我们需要一个账户
1. 限制它只能使用 SFTP
2. 不能使用 ssh 
3. 他的 home 目录直接指向 /var/www

2、实施

1. 建立新用户,指定 home 为 /var/www
	useradd -d /var/www dhbm162
2. 设置密码
	passwd dhbm162 
	
	** 要求密钥方式,所以,密码无需告知上传网站的程序员
3. 修改 sshd_config
	sudo vim /etc/ssh/sshd_config
	添加以下 Match User 规则

	###################
	# add by wzh 2019017 only SFTP users
	Match User dhbm162
	ForceCommand internal-sftp
	# ChrootDirectory /home/dhbm162/www/

	** 注释掉之前的 ChrootDirectory
	sudo systemctl restart sshd
	

4. 复制公钥文件,并修改 .ssh 权限
	sudo cp -R /home/dhbm/.ssh /var/www
	sudo chmod -R 755 /var/www/.ssh

	同时修改 /var/www
	sudo chmod -R 777 /var/www

3、 测试

1. 测试 ssh
	ssh dhbm162@192.168.1.162
		This service allows sftp connections only.
		Connection to 192.168.1.162 closed.

2. 测试 SFTP
 sftp  dhbm162@192.168.1.162
	Connected to dhbm162@192.168.1.162.
	sftp> 
	
3. 测试 FileZilla
新建站点

结果

4、 结论

以上方案虽然没有限制 sftp 用户 ChrootDirectory,但是,使用密钥方式,保证了一定的安全
直接指定了 /var/www 目录,维持了过去 vsftp 的操作习惯

5、后续问题

以上 sudo chmod -R 777 /var/www 应该是不安全的做法!网站文件任何人都可以修改?

还是需要指定拥有人才可以读写,其他人不可写!
如果有需要写权限的 uplaod 目录,必须手动单独修改!

sudo chmod -R 755 /var/www

sudo chown -R XXXX162:XXXX162 /var/www

** 现在有点儿理解 ChrootDirectory 的根目录为什么最大只能 755 了!

转载于:https://my.oschina.net/u/1440971/blog/3006426

SELinux
王涛的博客
06-27 8824
一、概览 什么是SELinux SELinux 是 Security Enhanced Linux 的缩写,字面意思是安全增强型linux 设计目的:避免资源的误用 -摘自鸟哥的linux SELinux 是由美国国家安全局 (NSA) 开发的,当初开发这玩意儿的目的是因为很多企业界发现, 通常系统出现问题的原因大部分都在於『内部员工的资源误用』所导致的,实际由外部...
2021年中职网络空间安全最新国赛赛题解析仅代表自己的建议——zz-网络安全试题(1)解析
PushSafe
05-17 4007
2021年全国职业院校技能大赛(中职组) 网络安全竞赛试题 (1) (总分100分) 赛题说明 一、竞赛项目简介 “网络安全”竞赛共分A. 基础设施设置与安全加固;B. 网络安全事件响应、数字取证调查和应用安全;C. CTF夺旗-攻击;D. CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名称 竞赛时间 (小时) 权值 A 基础设施设置与安全...
vulnhub:BTRSys2
cjstang的博客
06-18 2535
OSCP-3:主要利用方式:wordpress账号密码破解+PHP马反弹shell+系统内核低版本提权
通过密钥 SFTP ()SFTP 账户限定根目录
weixin_33717298的博客
01-22 413
2019独角兽企业重金招聘Python工程师标准>>> ...
linux sftp 设置根目录,FTP,SFTP服务器登录权限和根目录的设置
weixin_29045585的博客
04-28 3431
. 设置用户访问FTP的权限为了安全起见,在搭建FTP服务器的时候会限制用户的登录,那些用户我让他访问,那些不让访问,FTP服务器提供了两个配置文件:/etc/vsftpd/user_list //许可哪些用户可以访问/etc/vsftpd/ftpusers //不允许哪些用户访问我这里创建了个用户用于测试[root@localhost vsftpd]# useradd ftptes...
sftp进入指定目录_通过密钥 SFTP ()SFTP 账户指定不是限定根目录
weixin_34247523的博客
01-30 1395
20190127 之前限制 ChrootDirectory 之后,需要对原有环境改造较多1. 之前配置的网站都是直接存在在了 /var/www2、还没有部署网站的新服务器,完全可行!3、尝试了使用 ln 软连接 ,如果已经部署的网站较少,还是可行的,需要转移的网站代码比较少4. ChrootDirectory 对于目录要求很严,必须所有人是 root ,供上传的子目录最好 chmod 7775. ...
Sftp
最新发布
05-20
- **ChrootDirectory /data/abc**: 设定了该用户的根目录被锁定在 `/data/abc` 中,无法越界访问其他部分; - **ForceCommand internal-sftp**: 强制执行内部的 SFTP 子系统而非 shell 登录; - **...
【PyCharm远程开发:文件同步机制】
![PyCharm远程开发的配置指南]...# 1. PyCharm远程开发概述 PyCharm作为一款专业级的Python集成开发环境(IDE),提供了丰富的功能,使得开发工作更加高效和便捷。近年来,随着远程
Vue.js多环境配置完全指南:开发、测试与生产环境的有效管理
# 摘要 本文深入探讨了Vue.js项目中多...最后,文章探讨了环境配置的测试与优化策略,并通过案例研究分析了大型Vue.js项目环境配置的挑战和解决方案,同时对未来发展进行了展望。 # 关键字 Vue.js;多环境配置;环境变
加密和安全
qqlj的博客
05-27 2307
加密和安全墨菲定律:墨菲定律:一种心理学效应,是由爱德华·墨菲(Edward A. Murphy)提出的,原话:如果有两种或两种以上的方式去做某件事情,而其中一种选择方式将导致灾难,则必定有人会做出这种选择主要内容: 任何事都没有表面看起来那么简单 所有的事都会比你预计的时间长 会出错的事总会出错 如果你担心某种情况发生,那么它就更有可能发生安全机制:信息安全防护的目标保密性 Co...
linux sftp 设置根目录,linux配置sftp用户的chroot步骤(用户的sftp根目录)
weixin_39573781的博客
04-28 1961
2014-05-09 18:578681人阅读评论(0) 分类:sftpchroot版权声明:本文为博主原创文章,未经博主允许不得转载。1.编辑ssh中的sftp的配置,命令可能是:vi /etc/ssh/sshd_config在这个文件中最后加入#限制sftp组的用户使用sftp时在自己的home目录下Match Group sftp#这里写重写根目录成登录用户的根目录下ChrootDirect...
VFS+SFTP 根目录 重定向
askfish的专栏
06-09 541
为了项目要求SFTP很无奈地上了阿帕奇的VFS。 网上对VFS的介绍很少,官方的DOC基本可以忽略。 在发现没有SFTP根目录访问权限的情况下,开始对VFS调试。 终于解决了根目录的重定向问题。 与大家分享一下: /**  *   * @DESCRIPION :init environment  * @Create on: 2010-5-24 下午04:01:52  * @Author ...
linux sftp 设置根目录,详解Linux系统中设置SFTP服务用户目录权限的方法
weixin_31592801的博客
04-28 5304
前言在工作或者学习的时候,我们常常会遇到这样的需求,限制一个Linux用户,让他只能在指定的目录下进行添加、修改、删除操作,并且只能使用sftp登录服务器,不能用ssh操作。这些可以通过配置sftp服务实现。方法如下提供sftp服务的有vsftpd和internal-sftp,这里用的是系统自带的internal-sftp,操作步骤如下:1.创建新用户ui,禁止ssh登录,不创建家目录userad...
linux sftp root 根目录 锁定,Linux 下sftp配置之密钥方式登录详解
weixin_31569671的博客
04-30 1298
linux下sftp配置之密钥方式登录由于vsftp采用明文传输,用户名密码可通过抓包得到,为了安全性,需使用sftp,锁定目录且不允许sftp用户登到服务器。由于sftp使用的是ssh协议,需保证用户只能使用sftp,不能ssh到机器进行操作,且使用密钥登陆、不是22端口。1. 创建sftp服务用户组,创建sftp服务根目录groupadd sftp#此目录及上级目录的所有者必须为root,权限...
搭建sftp,使用户只能访问特定的目录
随缘的博客
06-19 1378
搭建sftp,使用户只能访问特定的目录
sftp限定用户权限指定目录
lxyoucan的博客
11-25 3444
sftp
在Windows11系统上搭建SFTP服务器
zhenxiaojie的博客
06-04 3211
如题
linux chmod 777子目录,我如何chmod 777/var/www的所有子文件夹?
热门推荐
weixin_33634121的博客
05-01 5万+
问题描述我正在运行网络服务器和FTP服务器,其中/var/www绑定到/home/user/www。我将两个目录都设置为chmod 777(这很好,因为它仅用于测试)。我可以将文件上传到/home/user/www,但每当我创建一个新目录时,我总是要在该文件夹上运行chmod 777。否则,当我尝试浏览它时,我收到错误消息You don’t have permission to access /t...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值