实现步骤如下:
1.创建用户abc ,主目录为/home/abc
2.用root用户建立目录及工作环境:
mkdir /var/chroot
mkdir -p /var/chroot/{proc,lib,bin,etc,home/ambow,usr/lib,usr/bin,dev/pts}
mknod /var/chroot/dev/null c 1 3
mknod /var/chroot/dev/zero c 1 5
mknod /var/chroot/dev/random c 1 8
mknod -m 666 /var/chroot/dev/ptmx c 5 2
mount proc /var/chroot/proc -t proc
mount devpts /var/chroot/dev/pts -t devpts
chmod 666 /var/chroot/dev/*
cp /bin ,/usr/bin 下需要使用的命令到chroot下对应的目录。
3. 把/lib ,/usr/lib 下库文件拷贝到对应的chroot目录下
4. tail -1 /etc/passwd >;/var/chroot/etc/passwd
5. 修改/etc/pam.d/sshd 在末尾加上一句
session required pam_chroot.so
6.修改/etc/security/chroot.conf
增加 一行 abc /var/chroot 保存后,使用abc 通过ssh 登录即可
参考文章:
+++++ 更有一篇同样的文章 +++++
2.1 构建chroot环境
因为jailkit在当前版本的linux下不能正常运行,而且我们想搭建一个简洁的
chroot环境,这里使用了手动制作:)
2.1.1 使用环境变量,以方便干活
export CHROOT_PATH=/home/chroot_env
2.1.2 创建基本目录
mkdir -p $CHROOT_PATH/{bin,home,usr,lib}
chown -r root.root $CHROOT_PATH
cd $CHROOT_PATH
2.1.3 创建 /bin/bash环境
cp /bin/bash $CHROOT_PATH/bin/bash
for a in $(ldd /bin/bash | awk ’{print $3}’)
do
[ -e $CHROOT_PATH`dirname $a` ] || mkdir -p $CHROOT_PATH`dirname $a`
cp -f $a $CHROOT_PATH$a;
done
2.1.4 创建 sftp-server 环境
export SFTP_SERVER=`grep sftp /etc/ssh/sshd_config | awk ’{print $3}’`
echo $SFTP_SERVER
mkdir -p $CHROOT_PATH/`dirname $SFTP_SERVER`
cp $SFTP_SERVER $CHROOT_PATH$SFTP_SERVER
for a in $(ldd $SFTP_SERVER | awk ’{print $3}’)
do
[ -e $CHROOT_PATH`dirname $a` ] || mkdir -p $CHROOT_PATH`dirname $a`
cp -f $a $CHROOT_PATH$a;
done
chroot环境已搭建完毕,只有一个bash可供使用
sftp-server,是为了相应用户的sftp登陆的
2.2 设置chroot-openssh
2.2.1 添加或指定享受此待遇的用户,这里是sftp_test
useradd -d /home/sftp_test sftp_test #如果没有用户,指向chroot/home
mv /home/sftp_test $CHROOT_PATH/home/sftp_test
ln -s $CHROOT_PATH/sftp_test /home/sftp_test
passwd sftp_test
这里使用了软连接,为了保持chroot环境和实际环境的一致。
2.2.2 修改sshd设置
[vi /etc/ssh/sshd_config]
UsePAM yes
2.2.3 修改sshd.pam设置
[vi /etc/pam.d/sshd]
session required pam_chroot.so
2.2.4 修改chroot设置
echo sftp_test $CHROOT_PATH >> /etc/security/chroot.conf
cat /etc/security/chroot.conf
2.2.5 重新启动
service sshd restart
关键是chroot和ldd的使用。
阅读(2008) | 评论(3) | 转发(0) |