Я установил SSH, но я нашел, использую ли я свою исходную учетную запись для входа в систему в Ubuntu, это имеет слишком много полномочий.
Я хочу вынудить пользователя только иметь полномочия для определенных папок в Ubuntu. Как я могу настроить такого пользователя?
Это просто. Просто создайте нового пользователя с его набором корневого каталога к тому, который Вам нужен он, чтобы иметь доступ к (эта команда должна быть выполнена под sudo
или в корневой оболочке):
adduser --home /restricted/directory restricted_user
Это создаст пользователя restricted_user
, каталог /restricted/directory
и затем полномочия на каталоге будут установлены так, пользователь может записать в него. Это не будет иметь способности записать в любой другой каталог по умолчанию.
Если у Вас уже есть каталог, можно работать adduser
команда с a --no-create-home
опция добавляется и полномочия набора вручную (также с полномочиями пользователя root), как:
chown restricted_user:restricted_user /restricted/directory
chmod 755 /restricted/directory
Если необходимо сделать даже мировые перезаписываемые каталоги недоступными для этого пользователя, существует два варианта.
1) Если Вы хотите предоставить интерактивную сессию оболочки пользователю, то рассмотрите после этого руководства по созданию chroot тюрьмы (в Вашем /restricted/directory
).
После этого добавьте следующее к Вашему sshd_config
:
Match user restricted_user
ChrootDirectory /restricted/directory
2) Если Вам только нужен он для копирования файлов между его конечной точкой соединения и хостом, все намного легче. Добавьте эти строки в конце Вашего sshd_config
:
Match user restricted_user
ForceCommand internal-sftp
ChrootDirectory /restricted/directory
Subsystem sftp internal-sftp
Затем прокомментируйте Subsystem sftp /usr/lib/openssh/sftp-server
путем размещения хеша (#
) знак в запуске.
После перезапуска Вашего сервера SSH (это не уничтожает интерактивные сессии на перезапуске, таким образом, безопасно даже при неправильном конфигурировании чего-то; также, не закрыл Ваш рабочий сеанс, прежде чем Вы проверили, что все еще можете войти в систему), все должно работать, как предназначено.