蜀门私服架设:linux&centos禁止一般用户访问系统根目录

作者:leo人气:更新:2021-09-07 23:50:08

蜀门私服linux/centos禁止一般用户访问系统根目录


添加组

groupadd sftp


再添加账户

useradd -g sftp -M -N -s /sbin/nologin user

#添加username用户并且禁止此用户login系统


查询用户是否添加到组

[root@Centos6-8-TestEnv data]#  groups user

user : sftp


设置密码

[root@Centos6-8-TestEnv data]# passwd user

更改用户 user 的密码 。

新的 密码:

重新输入新的 密码:

passwd: 所有的身份验证令牌已经成功更新。


0x01 修改sshd_config配置文件

编辑配置文件:/etc/ssh/sshd_config

修改Subsystem sftp /usr/libexec/openssh/sftp-server为Subsystem sftp internal-sftp


以下是对sftp组权限配置


#匹配 sftp 组的用户

Match Group sftp

  #锁定的目录

  ChrootDirectory /data/test

  #指定使用sftp服务使用系统自带的internal-sftp

  ForceCommand internal-sftp

  #如果不希望该用户能使用端口转发就加上,否则删掉

  AllowTcpForwarding no

  X11Forwarding no


或者对user用户权限配置


#匹配 user 用户

Match User user

  #ChrootDirectory %u (%u代表变量用户名)

  ChrootDirectory /data/test

  ForceCommand internal-sftp

  AllowTcpForwarding no

  PermitTunnel no

  X11Forwarding no


修改锁定用户目录的权限

#所有者设置为了root,所有组设置为sftp

chown root:sftp /data/test

#权限设置为755,所有者root有写入权限,而所有组sftp无写入权限

chmod -R 755 /data/test


目录的权限设定有两个要点:

1、由ChrootDirectory指定的目录开始一直往上到系统根目录为止的目录拥有者都只能是root

2、由ChrootDirectory指定的目录开始一直往上到系统根目录为止都不可以具有群组写入权限(最大权限为755)


添加可上传删除目录

mkdir /data/test/upload

chown user:sftp /data/test/upload

#允许user用户有读写权限,群组外用户无写入权限

chmod 755 /data/test/upload



此时目录权限结构

drwxr-xr-x  19 root sftp      4096 9月   4 17:52 /data/test

test目录下,user用户可读不可写

drwxr-xr-x  4  user sftp      4096 9月  28 12:02 /data/test/upload

upload目录下,user用户可进行读写操作


#重启SSHD使配置生效

service sshd restart


标签:蜀门私服蜀门sf蜀门私服架设系统根目录

豫ICP备2021020237号