Daudzos gadījumos mums ir jāpārnes vairākas informācijas starp ierīcēm, un visizplatītākais veids, kā to darīt, kas notiek jau vairāk nekā 20 gadus, ir FTP protokols (failu pārsūtīšanas protokols) un FTP, kas ļauj pārsūtīt datus no savienotajiem datoriem uz TCP, pamatojoties uz klientu / serveri.
Izmantojot FTP, mēs izmantojam portu 20 un 21. Tagad mums ir jauns iepriekš definēts protokols ar nosaukumu SFTP, kurā atrodam iespējotu visos serveros, kas atbalsta SSH.
SFTP (SSH failu pārsūtīšanas protokols) atšķiras no FTP tipa, lai gan tas atbalsta visus šodien atrastos FTP klientus. Lai gan SFTP ir ieviests, lai pievienotu drošības slāni, tas rada ievainojamību piekļuves līmenī, jo, būdams standarts, tas nodrošina sistēmas lietotājiem pilnīgu piekļuvi failu pārsūtīšanai un Shell lietošanai.
Šodien Solvetic mācīs, kā konfigurēt CentOS 7, lai neļautu noteiktam lietotājam piekļūt SSH ar brīvību manipulēt ar sistēmu, izmantojot SFTP0 protokolu.
1. Lietotāja izveide
Vispirms mēs izveidosim lietotāju, kuram piekļuvi ierobežos SSH, šajā gadījumā mēs to saucam par piekļuvi, un mēs izpildām sekojošo:
sudo adduser piekļuveTālāk mēs jaunajam lietotājam piešķiram paroli, izpildot sekojošo:
piekļuve sudo passwd
2. Failu pārsūtīšanas direktorija izveide
Kad mūsu lietotājs ir izveidots, nākamais solis ir izveidot direktoriju, kurā darbosies SFTP, novēršot piekļuvi, un tas ir jākonfigurē ar noteiktiem parametriem.
Mēs izveidosim direktoriju ar nosaukumu / var / sftp / uploads, kurā / var / sftp daļa, saknes lietotājs būs tās īpašnieks un nevienam citam lietotājam nebūs aktīvu atļauju, un / var / sftp / uploads apakšdirektorijā īpašnieks. jaunā lietotāja piekļuve. Mēs izveidojam direktoriju, izmantojot šādu rindu:
sudo mkdir -p / var / sftp / augšupielādesTālāk mēs izveidojam saknes lietotāju kā īpašnieku norādītajā direktorijā:
sudo chown sakne: root / var / sftpMēs piešķiram rakstīšanas atļaujas saknes lietotājam un lasām citiem lietotājiem norādītajā ceļā:
sudo chmod 755 / var / sftp
Tagad mēs pārveidojam augšupielāžu īpašnieku tā, lai tā būtu lietotāja piekļuve, un mēs izpildām šādas darbības:
sudo chown piekļuve: access / var / sftp / uploads
3. Piekļuves ierobežošana direktorijam
Šajā solī mēs redzēsim, kā ierobežot termināļa piekļuvi lietotāja piekļuvei, bet vai būs iespējams pārsūtīt failus. Lai to izdarītu, mums ir jārediģē SSH serveris ar vēlamo redaktoru, vim vai nano, šādā ceļā:
sudo nano / etc / ssh / sshd_configMēs redzēsim sekojošo:
Faila pēdējā daļā mēs pievienojam šādu:
Atbilst lietotāja piekļuvei ForceCommand iekšējā sftp parole Autentifikācija jā ChrootDirectory / var / sftp PermitTunnel no AllowAgentForwarding no AllowTcpPārsūtīšana nav X11Pārsūtīšana nē
Mēs saglabājam izmaiņas, izmantojot taustiņu kombināciju Ctrl + O, un izejam no redaktora, izmantojot taustiņus Ctrl + X. Izmantotā sintakse nozīmē sekojošo.
Saskaņot lietotājuPasakiet SSH serverim, lai izmaiņas tiktu piemērotas tur norādītajam lietotājam.
ForceCommand iekšējais-sftpPiespiež SSH serveri palaist SFTP, lai novērstu piekļuvi Shell.
Paroles autentifikācija jāIespējot paroles autentifikāciju
ChrootDirectory / var / sftp /Tas attiecas uz faktu, ka norādītajam lietotājam nebūs piekļuves ārpus / var / sftp ceļa.
AllowAgentForwarding nē, AllowTcpForwarding nr. un X11Pārsūtīšana navŠīs opcijas atspējo ostas pāradresāciju, tunelēšanu un X11 protokola pārsūtīšanu norādītajam lietotājam.
Kad fails ir saglabāts, mēs izpildīsim šādu komandu, lai piemērotu SSH izmaiņas:
sudo systemctl restartējiet sshd
4. SSH savienojuma pārbaude
1. darbība
Ja tas ir konfigurēts, būs pienācis laiks apstiprināt piekļuvi, izmantojot SSH, un pārbaudīt, vai būs iespējama tikai failu pārsūtīšana. Šim nolūkam mēs ejam uz savienojumu, izmantojot SSH, kas šajā gadījumā būs.
ssh [email protected]Kad mēs ievadīsim piekļuves akreditācijas datus, mēs redzēsim šādu ziņojumu:
2. solis
Ar to mēs esam pārliecinājušies, ka savienojums tiks slēgts, izmantojot SSH. Tagad mēs izmēģināsim savienojumu, izmantojot sftp protokolu:
sftp [email protected]Ievadot paroli, mēs redzēsim, ka savienojums ir veiksmīgs, un mēs varēsim pārsūtīt failus:
3. solis
Tur mēs varam izmantot komandu ls, lai uzskaitītu pieejamos direktorijus, un mēs redzēsim mūsu izveidoto augšupielādes mapi:
4. solis
Tur mēs varam pārvietot informāciju, bet, ja mēģināsim atgriezties iepriekšējā direktorijā, izmantojot cd … mēs nesaņemsim kļūdu, bet redzam, ka nevienu direktoriju nevar uzskaitīt:
Tas ir tik vienkārši, mēs varam ierobežot piekļuvi, pateicoties sftp.
