FTP chroot 를 설정하여 FTP 홈 디렉토리 상위 디렉토리로 이동이 불가능해진다.
하지만 SFTP 로 접속하면 홈 디렉토리 상위 디렉토리로 이동이 가능하다.
따라서 SSH chroot 적용 방법으로 적용해야 한다.
- Chroot를 지정한 유저 또는 그룹은 SSH를 사용할 수 없다.
- SFTP에서 Chroot를 설정하면, FTP로서의 기능만 하게 된다.
1. Group 사용자 등록
groupadd sftponly
useradd -g sftponly test
usermod -s /bin/false test
// 사용자 계정을 그룹에 등록하는 방법
usermod -g sftponly user1 // sftponly 그룹에 user1 멤버 등록
※ 일반 계정을 추가하고 SSH 접속을 하면 접속이 되어버림
그러나 sftponly 그룹에 추가하고 SSH 접속을 시도하면 접속이 차단됨.
SCP 이용하려면 SSH 권한이 되어야 이용이 가능함.
vi /etc/group
// sftponly 그룹을 찾아서 제한할 걸 사용자 계정 추가 (계정 구분은 콤마(,))
※ 그룹 사용자 추가/삭제/변경 방법은 http://link2me.tistory.com/500 참조
2. 사용자 홈 디렉토리 만들기 및 권한 적용
cd /
mkdir -p /home/test
chown root:sftponly /home/test
chmod 0664 /home/test
# 하위 디렉토리를 추가하고 쓰기 권한을 부여한다. (테스트 목적)
cd /home/test
mkdir web
chown root:sftponly /home/test/web
chmod 664 /home/test/web
※ 일반사용자(Other)와 그룹사용자(group)에게 실행권한이 설정되지 않게 파일은 644 또는 664 로 퍼머션 설정 필요
# 사용자 패스워드 변경
passwd user계정명
# 사용자의 홈디렉토리 확인
cat /etc/passwd
test:x:500:500::/home/test:/bin/bash
3. chroot 설정
- chroot 계정을 격리시킬 디렉토리를 생성한다.
vi /etc/ssh/sshd_config
// 중간에 Subsystem sftp 부분을 # 처리 해준다
// # Subsystem sftp /usr/lib/openssh/sftp-server 처리하면 SSH는 사용 가능, SFTP는 사용불가
// 맨 하단에 아래줄을 추가한다. Match 구분은 sshd_config 파일의 가장 마지막에 존재해야 함
// %h : 사용자의 홈디렉터리를 뜻함
Subsystem sftp internal-sftp
Match Group sftponly
ChrootDirectory %h
AllowTCPForwarding no
X11Forwarding no
ForceCommand internal-sftp
# SSH 재시작
service sshd restart
※ SFTP chroot 를 사용하려고 user를 추가하면 FTP 접속할 수 있는 계정이 생성되므로
FTP 사용을 못하게 Port 20, 21 번을 방화벽에서 차단하는 것이 필요
'리눅스' 카테고리의 다른 글
리눅스 날짜시간 변경 (0) | 2016.10.24 |
---|---|
2개의 APM(Apach + PHP + MySQL) 소스 설치 (0) | 2016.07.17 |
MySQL 환경설정 파일 문제로 인한 한글깨짐현상 해결 (0) | 2016.06.18 |
crontab 을 이용한 PHP 스케줄링 작업 (0) | 2016.05.30 |
아파치 날짜별로 로그기록 남기기 (0) | 2016.05.14 |