目標:
1.用戶appmon只能使用sftp登錄,拒絕ssh、ftp、telnet等方式登錄。
2.用戶登錄默認根目錄為/shucang6/mpppoc/common,其父層目錄不可見。
3.登錄后子目錄data01和software內所有文件與子目錄,僅允許下載,不允許上傳和修改。
4.登錄后子目錄result內所有文件與子目錄,可允許下載、上傳和修改操作。
操作方法:
1.使用root用戶,新建目錄並賦權
mkdir -p /shucang6/mpppoc/common mkdir -p /shucang6/mpppoc/common chmod 755 /shucang6 chmod 755 /shucang6/mpppoc chmod 755 /shucang6/mpppoc/common
2.新增用戶組appmon和用戶appmon
groupadd appmon useradd -d /shucang6/mpppoc/common -g appmon appmon passwd appmon
3.修改sshd配置文件
cp sshd_config sshd_config.bak vi /etc/ssh/sshd_config
----------------sshd_config---------------------------- #Subsystem sftp /usr/libexec/openssh/sftp-server #注釋掉一行,不然修改后啟動不了sshd服務 Subsystem sftp internal-sftp #修改為internal-sftp #文件最后添加如下代碼 Match User appmon #指定適用的用戶,如何指定用戶組改為Match Group ChrootDirectory /shucang6/mpppoc/common #設置chroot指定用戶根目錄,要求此目錄及所有上級目錄所屬用戶必須為root,且權限為755 X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp #指定sftp命令,ssh不可以登錄 ----------------sshd_config----------------------------
4.重啟sshd服務
service sshd restart
5.子目錄操作權限設定
mkdir -p /shucang6/mpppoc/common/data01 mkdir -p /shucang6/mpppoc/common/software chmod 755 /shucang6/mpppoc/common/data01 chmod 755 /shucang6/mpppoc/common/software mkdir -p /shucang6/mpppoc/common/result chown appmon:appmon /shucang6/mpppoc/common/result
參考文檔: