我们不想让SSH 登陆的用户随意浏览我系统的文件,只给他固定在指定地方活动。

环境:Red Hat Enterprise Linux Server release 6.2

openssh 需要4.7p 以上版本

建立一个允许ssh的登陆用户

[root@localhost ~]# useradd gao

更改用户的密码

[root@localhost ~]# passwd gao
Changing password for user gao.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
建立chroot目录

[root@localhost ~]# mkdir /vm/chroot

切换到建好的目录下,再创建登陆需要的目录结构

[root@localhost chroot]# mdkir bin home lib64

把gao用户的主目录拷贝到刚刚建好的home下

[root@localhost chroot]# cp -r /home/gao/ /vm/chroot/home/

拷贝可执行程序和登陆bash,参考拷贝执行程序脚本123.sh

[root@localhost chroot]# cd bin/

[root@localhost bin]# cat 123.sh
#!/bin/bash
cmd="bash touch more less awk sed vim mkdir"
for i in $cmd
do
a=`which $i`
cp $a ./
done
命令可以自行添加

再拷贝执行依赖的文件,参考拷贝依赖文件脚本456.sh

[root@localhost bin]# cd ../lib64/

[root@localhost lib64]# cat 456.sh
#!/bin/bash
cmd="touch more less awk sed vim mkdir"
for i in $cmd
do
ldd `which $i` |awk '{print $3}'|while read a ;do cp $a ./;done
done
全部拷贝完成后修改ssh 的配置文件

[root@localhost lib64]# vim /etc/ssh/sshd_config

在其最后加上

Match User gao
ChrootDirectory /vm/chroot

重启SSH服务

[root@localhost lib64]# /etc/init.d/sshd restart

使用其他机器登陆测试

[root@perl ~]# ssh gao@10.1.100.103
gao@10.1.100.103's password:
Last login: Wed Oct 10 11:54:00 2012 from 10.1.100.104
-bash-4.1$ cd /
-bash-4.1$ pwd
/
-bash-4.1$ ls
bin home lib64
-bash-4.1$

简单的chroot 已经完成

转载于:https://blog.51cto.com/gaoming/1109838

利用openssh实现chroot监牢相关推荐

  1. 利用OpenSSH实现基于秘钥的认证

    利用OpenSSH实现基于秘钥的认证 SSH协议介绍:     SSH是Secure Shell的缩写,意思是安全的shell          目前版本有 ssh v1和ssh  v2:在目前工作中 ...

  2. 使用 Metasploit 利用 OpenSSH 用户枚举漏洞 (CVE-2018-15473, CVE-2016-6210, CVE-1999-0502)

    使用 Metasploit 利用 OpenSSH 用户枚举漏洞 (CVE-2018-15473, CVE-2016-6210, CVE-1999-0502) 警告 请勿将本文提到的任何技术用于非法用途 ...

  3. chroot用法详解

    CHROOT就是Change Root,也就是改变程序执行时所参考的根目录位置. 一般的目录架构:  /  /bin  /sbin  /usr/bin  /home CHROOT的目录架构:  /he ...

  4. chroot 与 jail

    所谓"监牢"就是指通过chroot机制来更改某个进程所能看到的根目录,即将某进程限制在指定目录中,保证该进程只能对该目录及其子目录的文件有所动作,从而保证整个服务器的安全. 创建c ...

  5. [转]通过Chroot机制让服务器安全到底

    所谓"监牢"就是指通过chroot机制来更改某个进程所能看到的根目录,即将某进程限制在指定目录中,保证该进程只能对该目录及其子目录的文件有所动作,从而保证整个服务器的安全. 创建c ...

  6. linux chroot绿色程序,关于 Linux 下的 chroot 的些许介绍

    以前,Unix/Linux上的daemon都是以root权限启动的.当时,这似乎是一件理所当然的事情,因为像Apache这样的服务器软件需要绑定到"众所周知"的端口上(小于1024 ...

  7. linux dns chroot,系统运维|在 CentOS7.0 上搭建 Chroot 的 Bind DNS 服务器

    BIND(Berkeley internet Name Daemon)也叫做NAMED,是现今互联网上使用最为广泛的DNS 服务器程序.这篇文章将要讲述如何在 chroot 监牢中运行 BIND,这样 ...

  8. linux信任主机建立不了,openssh主机间信任关系建立

    openssh主机间信任关系建立 发布时间:2008-07-29 00:12:49来源:红联作者:eowyxip 这次我们尝试在两台linux主机间利用openssh建立主机间信任关系,采用ssh-k ...

  9. linux制作chroot环境,/chroot环境搭建 - 定制的小型文件系统

    服务器为RedHat5.5 root用户操作: 1.部署目录环境 创建一个目录,目录结构与实际的/目录结构类似 创建用户 useradd ppp passwd ppp 将chroot目录设置在/chr ...

最新文章

  1. C#线程系列讲座(1):BeginInvoke和EndInvoke方法
  2. Asp.net控件之异同:HTML控件与Web服务器控件
  3. c语言socket原理,Socket底层原理
  4. python的常见矩阵除法_Python numpy矩阵处理运算工具用法汇总
  5. 【C++】异常 Exception
  6. JAVA基础驿站,Java基础:内存模型
  7. Wget用法、参数解释的比较好的一个文章
  8. spring cloud+dotnet core搭建微服务架构:配置中心(四)
  9. Remix:高分辨率目标检测,面向边缘设备、可调谐
  10. et200sp系统服务器模块,西门子ET200
  11. DirectX11 指定材质
  12. 《金融学》笔记 第七章 商业银行
  13. 全球与中国抗辐射相机市场深度研究分析报告
  14. 每日一题860-柠檬水找零
  15. 2019最新中级Android面试题目,有着几篇就够了,Android开发五年
  16. 数学建模(六) 主成分分析,聚类分析,对策论,马氏链
  17. 键盘右上角三个灯的作用
  18. SCA声明办理 TSCA限用物质检测 TSCA有毒物质控制法案检测
  19. typescript将ES5转ES6
  20. Android自定义控件系列二:自定义开关按钮

热门文章

  1. mvc设计模式现在过时了吗_尚学堂115——设计模式、源码分析以及SpringData
  2. 将获取到的JSONObject和JSONArray转换为实体对象
  3. 测试MindMotion 的 ISP功能 - 无法进入ISP功能
  4. 关于第十六届大学生智能汽车竞赛 华南赛区补赛办法
  5. 可否使用串联LED(或者光敏LED)来制作光电检测板?
  6. opencv4 c++ 提取图片中的白色区域_修正!【从零学习OpenCV 4】分割图像——分水岭法...
  7. html loading原理,加载HTML-Loading HTML
  8. python概念股_python 股票 监控,安防监控概念股,新的安防监控概念股有哪些?
  9. python第一个公开发行版_Python基础篇【第一篇】:python入门
  10. oracle执行长任务,oracle 里面定时执行任务设置