• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

hpux 如何为ssh和sftp配置chroot环境

  • 0关注
  • 0收藏,1709浏览
粉丝:2人 关注:1人

为ssh和sftp配置chroot环境


CHROOT就是Change Root,也就是改变程序执行时所参考的根目录位置。

chroot通过将软件置于一个“jail”(监牢)中,把它与系统其他文件隔离开来。当你要测试一个可能影响你系统或者不安全的软件时,这项技术尤为有用。

从根本上说,chroot是一个特殊的目录,在这个目录中运行的程序无法访问目录外的文件。而从许多方面看,chroot就像在你的系统上安装了另一个系 统。技术上说来,chroot暂时地把根目录(通常是“/”)切换到chroot 目录(比如说“/var/chroot")。由于根目录是文件系统的顶端,应用程序无法访问高于根目录的目录,所以应用程序与其他的系统文件隔离开了。

需要注意的是,从chroot目录外访问chroot内的文件是可能的。


1 新建一个系统新用户。 

root@vm15:/tmp/testyu1 # useradd -m -d /home/tmp/testyu1 -s /usr/bin/sh testyu
  root@vm15:/tmp/testyu1 # passwd testyu
 Changing password for testyu
 New password: 
 Re-enter new password: 
 Passwd successfully changed 

2 查看系统用户的文件。确认新建的用户是否成功。

root@vm15:/tmp/testyu1 # more /etc/passwd
root:RPwbj.mQMUPBU:0:3::/:/sbin/sh
daemon:*:1:5::/:/sbin/sh
bin:*:2:2::/usr/bin:/sbin/sh
sys:*:3:3::/:
adm:*:4:4::/var/adm:/sbin/sh
uucp:*:5:3::/var/spool/uucppublic:/usr/lbin/uucp/uucico
lp:*:9:7::/var/spool/lp:/sbin/sh
nuucp:*:11:11::/var/spool/uucppublic:/usr/lbin/uucp/uucico
hpdb:*:27:1:ALLBASE:/:/sbin/sh
nobody:*:-2:-2::/:
www:*:30:1::/:
cimsrvr:*:101:101:WBEM Services:/var/opt/wbem:/sbin/sh
smbnull:*:102:102:DO NOT USE OR DELETE - needed by Samba:/var/opt/samba/nologin:/bin/false
opc_op:*:777:177:OVO default operator:/home/opc_op:/sbin/sh
hpsmh:*:103:103:System Management Homepage:/var/opt/hpsmh:/sbin/sh
sfmdb:*:104:20::/home/sfmdb:/sbin/sh
sshd:*:105:104:sshd privsep:/var/empty:/bin/false
iwww:*:106:1::/home/iwww:/sbin/sh
owww:*:107:1::/home/owww:/sbin/sh
tftp:*:108:105:Trivial FTP user:/home/tftp:/usr/bin/false
test:KSJFSZT6Dx6Ok:109:106::/home/test:/usr/bin/sh
test1:x/nsRtObosZV.:110:20::/home/123:/sbin/sh
test2:*:111:20::/home/test2:/sbin/sh
test3:W7tYqkP4Ce8fw:112:20:chrooted user:/home/test3:/bin/sh
test4:IXUEDymG1Flrg:113:20:chrooted user:/user/test2:/bin/sh
test5:*:114:20::/home/tmp/testyu:/sbin/sh
testyu:urPHogTpjMASI:115:20::/home/tmp/testyu1:/usr/bin/sh

 

3 编辑 /opt/ssh/etc/sshd_config 配置文件,增加新用户和新用户登录目录。 

root@vm15:/home # vi /opt/ssh/etc/sshd_config
# Example of overriding settings on a per-user basis
Match User test3
ChrootDirectory /newroot
Match User test4
ChrootDirectory /newroot2
Match User testyu
ChrootDirectory /home/tmp/testyu1
#     X11Forwarding no
#     AllowTcpForwarding no
#     ForceCommand cvs server

4 执行./ssh_chroot_setup.sh 服务。

root@vm15:/opt/ssh/utils # ./ssh_chroot_setup.sh 

 

HP SECURE SHELL: CHROOT ENVIRONMENT SETUP - MAIN MENU
         -----------------------------------------------------

         Select one of the option below

         1.Configure a chroot enviroment

         2.Exit

 

         Enter your choice : 1 

Chroot setup
        ---------------

         User name (Maximum eight chars) : testyu

 

         Chroot setup
        ---------------

         User name (Maximum eight chars) : testyu

         chroot setup checks for user details 

         Enter the new root directory for testyu with absolute path (or press return for default(/newroot)): /home/tmp/testyu1
Select chroot secure shell option
         ----------------------------------
         1 sftp
         2 ssh & sftp & scp
         press return key to skip this step 


         Option : 2

         Now configuring the chroot environment for ssh & sftp & scp...finished

         Summary 
         --------

         Chroot-ed user : testyu3

         Chroot-ed user's new root directory : /newroot 

         Secure Shell configuration : SSH & SFTP & SCP

5 停止 /sbin/init.d/secsh 服务。

root@vm15:/opt/ssh/utils # /sbin/init.d/secsh stop  
HP-UX Secure Shell stopped 

6 启动 /sbin/init.d/secsh 服务。

root@vm15:/opt/ssh/utils # /sbin/init.d/secsh start
HP-UX Secure Shell started

7 确认 /newroot 这个目录是否正常。

root@vm15:/opt/ssh/utils # cd /newroot 
root@vm15:/newroot # ll
total 16
dr-xr-xr-x   2 bin        bin             96 Aug 10 16:01 bin
dr-xr-xr-x   3 bin        bin             96 Aug 10 16:01 dev
dr-xr-xr-x   2 bin        bin           8192 Aug 10 16:01 etc
dr-xr-xr-x   3 bin        bin             96 Aug 10 16:01 home
dr-xr-xr-x   4 bin        bin             96 Aug 10 16:01 opt
dr-xr-xr-x   2 bin        bin             96 Aug 10 16:01 sbin
drwxrwxrwt   2 root       root            96 Aug 10 16:01 tmp
dr-xr-xr-x   5 bin        bin             96 Aug 10 16:01 usr
dr-xr-xr-x   3 bin        bin             96 Aug 10 16:01 var

8 切换到新建的新用户登录系统测试。

into newroot home


0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
<

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作