次の詳細を使用して新しいユーザーを作成します。
useradd -d /var/www/html/testuser.com -G users testuser
引き続きユーザーの新しいパスワードを作成し、SSH 経由でログインしようとします。 /var/www/html/testuser.comにログインしますが、それでもそのディレクトリに戻ることができます。 testuser.comと兄弟ディレクトリのコンテンツのみを管理できるようにユーザー権限を制限したい(すべての一般的なタスクを実行できるように)ユーザーがディレクトリに戻り、効果的にroot権限を取得したくありません。入場。
答え1
ユーザーが別のディレクトリを閲覧できるという理由だけで、「実質的にrootアクセス権を持つ」というわけではありません。シェルアクセス権を持つすべてのユーザーは、ソフトウェアのインストールを参照できます。これはすべてのサイトからダウンロードできるため、最終的に機密情報ではありません。特定のディレクトリがすべてのシェルユーザーに公開されたくない場合は、適切に制限された権限を付与してください。
2番目のセキュリティ層が必要な場合は、アカウントにさらに制限を適用できます。これらのユーザーにファイルの閲覧、アップロード、ダウンロードのみを許可するには、/var/www/html/testuser.com
シェルアカウントを提供せず、SFTPのみを使用できる制限付きアカウントを提供してください。以下では、アカウント固有のオプションを指定できます。sshd_config
ブロックとしてMatch
。 (Match
ディレクティブは次のMatch
ディレクティブまたはファイルの末尾に展開されますので、ファイルの末尾に入れてください。)
Match User testuser
Force-command internal-sftp
ChrootDirectory /var/www/html/testuser.com
ユーザーはscpやrsyncなどのより多くのコマンドを使用できますが、通常のシェルアクセスを無効にするには、次のようにします。RSSHまたはスポリそのアカウントのシェルとしてrsshまたはscponlyをインストールして設定して、許可するコマンドを指定します(参照:SCPにタンピーが必要ですか?)。
ホワイトリスト内のいくつかのプログラムのみを実行できるシェルアカウントを提供するには、そのシェルを次のように設定します。限られた殻。これらのユーザーは、ファイルの権限に基づいてホームディレクトリ外のファイルにアクセスできます。
フルシェルアクセスを提供したいが、ホームディレクトリ以外のすべてを見えないようにするには、次の形式を作成する必要があります。刑務所。刑務所の最も弱い形態はchroot 刑務所、これはユーザーをディレクトリツリーの1分岐に制限します。ユーザーをchrootに制限することChrootDirectory
はに指定するのと同じくらい簡単ですsshd_config
。ただし、ユーザーは刑務所から出ることができないため、このディレクトリにはユーザーが使用するすべてのプログラムとそのデータを含める必要があります。あなたはそれを使用することができますバンドルのインストール/usr
刑務所の内部にいくつかのディレクトリ(たとえば)を表示します。
答え2
man 5 sshd_config
このオプションを確認してくださいChrootDirectory
。
答え3
/var/www/html
ルートのみファイル/フォルダを表示および変更できるように権限を変更できます。
良い:
chown root:root /var/www/html