目錄表

使用 jailkit 限制使用者只能使用 scp/sftp 與特定目錄功能

因為最近有需要提供一個 sftp 的上傳檔案服務,但是不希望使用者可以用到 ssh 登入操作的功能,在 Google 大神的指示下,先找到了 rssh 但是無法成功安裝到 CentOS 5上面, 後來再找到 jailkit, 終於可以將這個合乎需求的開源自由軟體成功安裝與設定完成.

- 下載與安裝

su - root
cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.7.tar.gz
tar -zxvf jailkit-2.7.tar.gz
cd jailkit-2.7
./configure
make
make install
cp extra/jailkit /etc/init.d/jailkit
chmod a+x /etc/init.d/jailkit
chkconfig jailkit on
  • 如果有安裝 rpmforge 可以直接
    yum install jailkit

    下載安裝

  • 然後設定自動啟動
    chkconfig jailkit on

- 建立虛擬根目錄

jk_init -v -j /srv/sftpjail sftp scp
jk_init -v -j /srv/sftpjail jk_lsh

- 建立 sftp 使用者

useradd sftpuser
useradd -g sftpuser sftpuser1
useradd -g sftpuser sftpuser2
passwd sftpuser <- 設定 sftpuser 密碼
passwd sftpuser1 <- 設定 sftpuser1 密碼
passwd sftpuser2 <- 設定 sftpuser2 密碼
jk_jailuser -m -j /srv/sftpjail sftpuser
jk_jailuser -m -j /srv/sftpjail sftpuser1
jk_jailuser -m -j /srv/sftpjail sftpuser2
:
sftpuser:x:511:511::/srv/sftpjail/./home/sftpuser:/usr/sbin/jk_chrootsh
sftpuser1:x:512:511::/srv/sftpjail/./home/sftpuser1:/usr/sbin/jk_chrootsh
sftpuser2:x:513:511::/srv/sftpjail/./home/sftpuser2:/usr/sbin/jk_chrootsh
:
sftpuser:x:511:511::/home/sftpuser:/usr/sbin/jk_lsh
sftpuser1:x:512:511::/home/sftpuser1:/usr/sbin/jk_lsh
sftpuser2:x:513:511::/home/sftpuser2:/usr/sbin/jk_lsh

- 建立虛擬 log device

service syslog stop
syslogd -a /srv/sftpjail/dev/log
service syslog start
[/srv/sftpjail/dev/log]
base=512
peak=2048
interval=10
service jailkit restart

- 設定 sftpuser 群組使用者權限

[group sftpuser]
paths= /usr/bin, /usr/lib/
executables= /usr/bin/scp, /usr/libexec/openssh/sftp-server
  • 這樣的設定針對 SSH 不需要密碼登入方式 依然有效, 所以只需要將 Client 端的 id_dsa.pub 複製到 Server 端該 account 的 home 目錄內 .ssh/authorized_keys2 , 以下就用 sftpuser 這個 account 來做說明:
cp id_dsa.pub /srv/sftpjail/home/sftpuser/.ssh/authorized_keys2

將權限設定正確 

chown -R sftpuser:sftpuser /srv/sftpjail/home/sftpuser/.ssh/
chmod 600 /srv/sftpjail/home/sftpuser/.ssh/authorized_keys2

參考資料