eri*_*icn 19 centos ftp sftp amazon-ec2 amazon-web-services
可能重复:
Linux 目录权限
我正在与一些第三方开发人员合作,我想授予 SFTP(或 FTP)访问他们正在处理的网站的根文件夹的权限,'/var/www/html/website_abc'以便他们可以将文件上传到那里。请注意,我在同一个 EC2 实例上托管我的其他网站,例如'/var/www/html/website_xyz'.
只是为了强调我在 1 个 EC2 实例上使用多个网站,网站的结构如下:
/var/www/html/
/var/www/html/website_abc
...
/var/www/html/website_xyz
我的目标如下:
我已经进行了搜索,但大多数人都在谈论如何通过 SFTP 访问 EC2,而我已经能够使用 WinSCP。
说明:
/var/www/html/website_abc具有“写”权限的内容/var/www/html/,理想情况下甚至没有“读”权限/var/www/html/已经拥有权限 777,因为这是我的 DocumentRoot 文件夹。那么,如何阻止“adeveloper”访问我的其他网站?部分解决 了我使用 OpenSSH 设法实现了我的目标(我在 /var/www/html/website_abc/ 中创建了 .ssh 文件夹并生成私钥并将其提供给第三方开发人员)。我还了解到我永远不应该提供 AWS 给我的私有密钥文件。仍在学习 chroot。
Tom*_*Tom 11
默认情况下,提供远程 shell(如 ssh 或 telnet)或交互式远程会话的服务(如 sftp)允许本地用户切换到他们有权访问的任何目录,并检索他们有权访问的任何文件的副本。
作为一般的安全配置,这是不幸的,因为有许多文件和目录必须是世界可读的。例如,我是某个远程 CentOS 机器上的非 root 用户;
$ cd /etc
-bash-3.2$ ls -1
acpi
adjtime
aliases
...
例如,我可以访问很多东西,理想情况下,您希望限制某些您希望提供本地访问权限的未知用户。
这是我查看/etc/passwd文件中配置的所有本地用户;
$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
...
Unix 系统提供了chroot允许您/将用户重置到文件系统层次结构中的某个目录的命令,在那里他们无法访问“更高级别”的文件和目录。
但是,在您的情况下,提供由远程 shell 服务实现的虚拟 chroot 是合适的。sftp 可以很容易地配置为使用
因此,在你的情况,你想chroot在adeveloper用户进入/var/www/html/website_abc目录。
您可以为您的用户设置一个 chroot 目录,以将他们限制在子目录中,/var/www/html/website_abc如下所示/etc/ssh/sshd_config;
这个东西需要4.8之后的openssh-server?,所以可能需要CentOS 6.2
Match Group sftp
ChrootDirectory %h
AllowTcpForwarding no
(未测试,请参阅man sshd_config以确认语法)
然后将这些用户添加到 sftp 组;
groupadd sftp
usermod -d /var/www/html/website_abc adeveloper
usermod -G sftp adeveloper
关于共享密钥
您应该为 adeveloper 用户创建一个额外的密钥对,并将其发送给您的顾问。(或者,让他们发送您的公钥并将其添加到 authorized_keys 文件中adeveloper)
永远不要放弃你的私钥,这就是为什么它被称为 private ;-)
传统的 ftp 替代品
vsftp/proftp 等也支持 chroot 配置,但在现代,基于 ssh 的配置是正常方式,对 ftp 的支持只是历史性的。
http://www.howtoforge.com/chrooted-ssh-sftp-tutorial-debian-lenny
| 归档时间: |
|
| 查看次数: |
86928 次 |
| 最近记录: |