2015년 5월 27일 수요일

sftp 상위 디렉토리 차단

ssh 접속은 사용안하고 sftp 만 사용하는 유저의 상위 디렉토리 차단.

openssh 버젼이 4.8 이상이면 됨. (웬만하면 다 될 듯..)

 

아래처럼 바꾸고, 추가 해줌.

vim /etc/ssh/sshd_config
# override default of no subsystems
#바꿈
#Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp

# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# ForceCommand cvs server
# 추가
Match group sftpusers
ChrootDirectory /home/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp

#sftp 전용 그룹 추가.
groupadd sftpusers

#dev라는 유저를 추가 (이것만 계속 반복으로 유저 추가)
useradd -g sftpusers -d /home/dev -s /sbin/nologin dev
chown root:root /home/dev
chmod 755 /home/dev
passwd dev

#sshd 재시작
service sshd restart

/home 디렉토리는 기존에 사용하고 있던 디렉토리이고,

user 그룹이 sftpusers 가 아닌 id들은 위의 로직을 타지 않음.

참고 :
https://wiki.archlinux.org/index.php/SFTP_chroot
http://www.programkr.com/blog/MQTM5ADMwYTx.html

댓글 없음:

댓글 쓰기