Saya ingin memberikan akses SFTP sementara ke petugas dukungan. Bagaimana cara membuat pengguna SFTP? Dan bagaimana cara menghapusnya setelah pekerjaan selesai?
Juga, bagaimana cara menentukan direktori home untuk mereka? Dapatkah saya mencegah mereka mengakses subdirektori tertentu dalam direktori home mereka?
Kami menggunakan CentOS 6.3 dan fzSftp
Jawaban yang Diterima:
Akses non-chroot
Jika Anda tidak memiliki pengaturan server FTP, dan Anda memercayai pengguna yang akan masuk, untuk tidak terlalu sering mengaduk-aduk server Anda, saya akan cenderung memberi mereka akun ke SFTP ke dalam sistem.
Wiki CentOS mempertahankan howto sederhana berjudul:Penyiapan SFTP sederhana yang membuat ini cukup mudah.
Saya katakan ini tanpa rasa sakit karena Anda benar-benar hanya perlu membuat akun dan memastikan firewall mengizinkan lalu lintas SSH, memastikan layanan SSH berjalan, dan Anda sudah selesai.
Jika sshd belum berjalan:
$ /etc/init.d/sshd start
Untuk menambahkan pengguna:
$ sudo useradd userX
$ sudo passwd userX
... set the password ...
Setelah selesai dengan akun:
$ sudo userdel -r userX
Akses Chrome
Jika di sisi lain Anda ingin membatasi pengguna ini ke direktori yang ditentukan, server SFTP yang disertakan dengan SSH (openssh) menyediakan konfigurasi yang membuatnya mudah diaktifkan juga. Ini sedikit lebih banyak pekerjaan tetapi tidak terlalu banyak. Langkah-langkahnya dibahas di sini dalam tutorial ini berjudul:Cara Mengatur SFTP Chroot di Linux (Hanya Izinkan SFTP, bukan SSH).
Buat perubahan ini pada /etc/ssh/sshd_config Anda berkas.
Subsystem sftp internal-sftp
## You want to put only certain users (i.e users who belongs to sftpusers group) in the chroot jail environment. Add the following lines at the end of /etc/ssh/sshd_config
Match Group sftpusers
ChrootDirectory /sftp/%u
ForceCommand internal-sftp
Sekarang Anda harus membuat pohon direktori chroot tempat pengguna ini akan dikunci.
$ sudo mkdir -p /sftp/userX/{incoming,outgoing}
$ sudo chown guestuser:sftpusers /sftp/guestuser/{incoming,outgoing}
Izin akan terlihat seperti berikut:
$ ls -ld /sftp/guestuser/{incoming,outgoing}
drwxr-xr-x 2 guestuser sftpusers 4096 Dec 28 23:49 /sftp/guestuser/incoming
drwxr-xr-x 2 guestuser sftpusers 4096 Dec 28 23:49 /sftp/guestuser/outgoing
Direktori tingkat atas seperti ini:
$ ls -ld /sftp /sftp/guestuser
drwxr-xr-x 3 root root 4096 Dec 28 23:49 /sftp
drwxr-xr-x 3 root root 4096 Dec 28 23:49 /sftp/guestuser
Jangan lupa restart sshd server:
$ sudo service sshd restart
Sekarang buat akun userX:
$ sudo useradd -g sftpusers -d /incoming -s /sbin/nologin userX
$ sudo passwd userX
... set password ...
Anda dapat memeriksa apakah akun telah dibuat dengan benar:
$ grep userX /etc/passwd
userX:x:500:500::/incoming:/sbin/nologin
Setelah selesai dengan akun, hapus dengan cara yang sama di atas:
$ sudo userdel -r userX
…dan jangan lupa untuk menghapus perubahan file konfigurasi yang kita buat di atas, lalu restart sshd untuk membuatnya aktif sekali lagi.