天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

用 RSSH 和 Chroot 保障复制文件的安全

2008-2-18赛迪网佚名

  对于远程登录来说,SSH(Secure Shell)确实是好东西。通过使用SSH,我们可以把所有传输的数据进行加密,这样就可以阻止“中间人”这种攻击方式,还能够防止DNS欺骗和IP欺骗。而且如果考虑到安全的文件传输选择,我们就可以放弃使用FTP转而考虑使用如SCP或者SFTP,它们与FTP应用相似但采用SSH来进行验证和加密,如果我们使用基于UNIX的服务器,可以在命令方式下调用SCP或者SFTP。不过,这同时意味着别人也能够登录到你的系统并且执行其中的命令。即使你进行限制使其只能对SFTP访问,用户仍然享有对整个系统的完全的访问权限。

  通过使用一种称为RSSH(restricted secure shell)的程序我们完全可以改变这种情况,此程序可从pizzashack.org下载。当然,如果厂商支持的话,用户还可以从其组件库中将此程序安装到您的Linux系统中。通过使用RSSH,你不但能够限制用户使用SCP和SFTP(也包括一些使用SSH进行传输的程序,如rsync 和cvs),而且可以依靠chroot去限制用户只能访问一个目录而不是整个的文件系统。

  创建chroot通常情况下技巧性较强,下面这段脚本可以作为一个用于创建初始化chroot的范例:

   

  #!/bin/sh
chroot="${1}"
if [ "${chroot}" == "" ]; then
echo "FATAL: I need a location to create the chroot!"
exit 1
fi
if [ -e ${chroot} ]; then
echo "FATAL: ${chroot} already exists!"
exit 1
fi
mkdir -p ${chroot}/{usr/bin,lib,usr/lib/ssh,dev,etc}
for bin in /usr/bin/scp /usr/bin/rssh /usr/lib/rssh_chroot_helper
/usr/lib/ssh/sftp-server;
do
cp ${bin} ${chroot}${bin}

for lib in `ldd ${bin} | awk '{print $3}'`;
do
if [ -f ${lib} ]; then
cp ${lib} ${chroot}/${lib}
fi
done
done
cp /lib/ld-linux.so.2 ${chroot}/lib/
cp /lib/libcrypt.so.1 ${chroot}/lib/
cp /lib/libnss_compat.so.2 ${chroot}/lib/
mknod -m 0666 ${chroot}/dev/null c 1 3

  上面这段脚本会被执行为:# mkchroot /chroot/user。

  下一步就是要执行针对用户的特定操作,如为用户创建密钥文件:

  # getent passwd user >/chroot/user/etc/passwd

  此外,我们还需要修改其登录的外壳:

  # usermod -s /usr/bin/rssh user

  最后,编辑/etc/rssh.conf并增加如下一项:

  user = "user:022:00011:/chroot/user"

  这会将用户的默认umask设置为022,并提供SCP和SFTP的访问。

  最后,确保关键字在rssh.conf中被启用:

  allowscp
allowsftp

  这样你就可以确保了安全的文件传输,并且不会暴露整个的文件系统或外壳(shell)访问。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:赛迪网 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行