ПредишенСледващото

Как да се ограничи достъпа на потребителите чрез SFTP в дома си директория

Това е трудно да се нарече управление или ръководство за определяне на разрешения за потребители на Linux.
Тук ще опиша конкретна задача, която често се срещат в ежедневната работа.

Ние работим предимно с CentOS, а наскоро го с CentOS 7, така че това мамят лист е предназначена предимно за тази версия на системата. Ако тя работи върху други дистрибуции или версии на CentOS - прекрасно.

На първо място, предполагам, че OpenSSH вече е инсталиран в системата.

Ето защо, веднага отидете на Редактиране на настройките на


Превъртете до края на файла и добавя следните редове


Уместно е да се малка, но много важна бележка.
На първо място, собственик на всички директории в пътя, който ние посочете в ChrootDirectory директива трябва да бъде корен. В противен случай, потребителят не може просто да отидете с SFTP.
На второ място, тази директория не би трябвало да може да се записва за други потребители.

По този начин, ние трябва да направим повече действия за ограничаване на достъпа на потребителите до вашата домашна директория, за да има смисъл.

Има няколко възможности. Тук ние считаме, две от тях.

Първи вариант: променете testuser собственик директория до корен и да се създаде поддиректория, например, public_html, собственик на която е вече наш потребител testuser.


По този начин, нашите потребители по същество губи собствената си домашна директория, но тя няма право да чете съдържанието му, както и пълен достъп до поддиректория public_html, където е бил в състояние да създаде всичко, което е необходимо.

Вторият вариант е да konfigratsii SSH сървъра посочва на база пътя към директорията / дома, собственикът на които във всеки случай е коренът и тя не може да бъде написана от други потребители.


В този случай потребителите ни testuser не загубят дома си директория и има пълните права да записват в директорията си.
В същото време, ако ние сме вече ще има и други потребители на вход ще бъдат видими за всички домашни директории на всички потребители на. Но това е тема за отделен пост.

Свързани статии

Подкрепете проекта - споделете линка, благодаря!