一、最近接到一個項目組的需求搭建檔案伺服器,需求如下
1、使用者:amovs、upload、download
2、組:amovs、dataload、download
3、具體需求是upload和download的家目錄都為同一個目錄dataload
4、upload能上傳也就是能讀能寫、download使用者隻能下載下傳
5、amovs因需要進行批量自動化删除日志等操作,是以對于dataload目錄權限需要讀、寫權限
6、并且upload和download隻能使用sftp軟體上傳和下載下傳檔案使用,不能作為登入使用者
詳細規劃了一下使用者群組的關系如下:
amovs屬于dataload組,家目錄為/amovs
upload為屬于dataload組 /data/dataload
download屬于download組 /data/dataload
二、搭建環境如下:
Red Hat Enterprise Linux Server release 6.7 (Santiago)
具體搭建步驟:
1、檢視ssh相關版本
[root@iccsdb02 /]# rpm -qa | grep ssh
openssh-clients-5.3p1-111.el6.x86_64
openssh-server-5.3p1-111.el6.x86_64
ksshaskpass-0.5.1-4.1.el6.x86_64
libssh2-1.4.2-1.el6_6.1.x86_64
openssh-5.3p1-111.el6.x86_64
2、建立相關組和使用者
[root@iccsdb02 /]# groupadd -g 601 amovs
[root@iccsdb02 /]# groupadd -g 602 dataload
[root@iccsdb02 /]# groupadd -g 603 download
[root@iccsdb02 /]# useradd -u 601 -g amovs -G dataload -d /amovs amovs
[root@iccsdb02 /]# useradd -u 602 -s /bin/false -g dataload -d /data/dataload upload
[root@iccsdb02 /]# useradd -u 603 -s /bin/false -g download -d /data/dataload download
3、編輯/etc/ssh/sshd_config 更為為如下:
#注釋掉這行
#Subsystem sftp /usr/libexec/openssh/sftp-server
添加如下配置
Subsystem sftp internal-sftp #指定使用sftp服務使用系統自帶的internal-sftp
#Match Group dataload #如何限制組就改成這樣 這裡也可以使用使用者Match User,用逗号隔開
Match User upload、download #我這裡的需求是控制使用者是以就配置成這樣
ChrootDirectory /data #此目錄實際上傳目錄的上級目錄,例如這裡實際存儲檔案位置是/data/dataload
#用chroot将指定使用者的根目錄,chroot的詳細含義請參考如下連結:
<a href="http://www.ibm.com/developerworks/cn/linux/l-cn-chroot/" target="_blank">http://www.ibm.com/developerworks/cn/linux/l-cn-chroot/</a>
ForceCommand internal-sftp #指定sftp指令
X11Forwarding no #這兩行,如果不希望該使用者能使用端口轉發的話就加上,否則删掉
AllowTcpForwarding no
注意:
要實作Chroot功能,目錄權限的設定非常重要。否則無法登入,給出的錯誤提示也讓人無語。
基本上報錯都是這樣的
# sftp [email protected]
Connecting to 192.168.56.102...
[email protected]'s password:
Write failed: Broken pipe
Couldn't read packet: Connection reset by peer
目錄權限設定這裡從網上找到了3條總結測試如下:
1、ChrootDirectory設定的目錄權限及其所有的上級檔案夾權限,屬主和屬組必須是root:root
這裡我的/data 屬組為root:root 而/data/dataload 屬組為upload:dataload ,具體如下
[root@iccsdb02 ~]# ls -ld /data
drwxr-xr-x 3 root root 4096 5月 23 17:27 /data
[root@iccsdb02 data]# ls -ld /data/dataload/
drwxrwxr-x 4 upload dataload 4096 5月 23 18:11 /data/dataload/
2、ChrootDirectory設定的目錄權限及其所有的上級檔案夾權限,隻有屬主能擁有寫權限,也就是說權限最大設定隻能是755
這條沒試出來
3、ChrootDirectory %h 如果選擇了這種模式,使用者的home目錄必須是root:root 權限,它的上級目錄頁必須是root:root,否則就會報錯。
[root@iccsdb02 /]# ls -ld /amovs/
drwxr-xr-x 3 amovs amovs 4096 5月 23 16:00 /amovs/
[root@iccsdb02 /]# chown root:root /amovs
[root@iccsdb02 /]# ls -l /amovs/
drwxr-xr-x 3 root root 4096 5月 23 16:39 data
這裡設定完了以後還出現了一個問題就是通過sftp軟體上傳後的檔案屬性是644的,也就是amovs使用者删除不了upload 使用者的上傳的檔案,這說明上傳檔案的權限并沒有走系統使用者umask,通過查了一些資料修改PAM值并測試成功了。
一,檢視并開啟ssh的PAM功能,
運作指令看看 ldd /usr/sbin/sshd | grep libpam.so支援PAM
[amovs@iccsdb02 20170523]$ ldd /usr/sbin/sshd | grep libpam.so
libpam.so.0 => /lib64/libpam.so.0 (0x00007fce94f79000)
編輯/etc/ssh/sshd_config
UsePAM yes #這預設是開啟的,沒有開的話開啟了
二,編輯/etc/pam.d/sshd,(具體說明參照PAM),加上umask那一行。
#%PAM-1.0
auth required pam_sepermit.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session optional pam_keyinit.so force revoke
session include password-auth
session optional pam_umask.so umask=0002
重新開機sshd服務就可以了
測試如下:
<a href="https://s5.51cto.com/wyfs02/M01/96/C1/wKioL1klKRPBgxn6AAB3jrxQWUo344.jpg" target="_blank"></a>
本文轉自 yuri_cto 51CTO部落格,原文連結:http://blog.51cto.com/laobaiv1/1928973,如需轉載請自行聯系原作者