SFTP 전용 사용자를 만들고 특정 디렉토리만 업데이트할 수 있도록 제한

3489 단어 AWS

이게 뭐야

SFTP 전용 사용자를 만들고 특정 디렉토리만 업데이트할 수 있도록 제한해 보았으므로 메모를 여기에 남깁니다.
FTP 소프트웨어는 Cyberduck를 사용합니다.

요구사항

sftp-user 만들기
/home/sftp-user 아래의 파일만 조작할 수 있도록(chroot한다)
그러나/var/www/html/hoge 만 업데이트 할 수 있도록 만들고 싶습니다.

해봤어

사용자 작성

useradd sftp-user

httpd install

yum -y install httpd

sftp-user가 업로드한 파일을 아파치가 움직일 수 있도록 한다.

gpasswd -a apache sftp-user

SSH directory 작성

cd /home/sftp-user
mkdir .ssh
chmod 700 .ssh

키 생성

sudo su - sftp-user
cd .ssh
ssh-keygen 
key name : sftp-user

루트로 돌아가기

exit

공개 키의 이름과 권한 변경

mv sftp-user.pub authorized_keys
chmod 600 authorized_keys

copipe로 저장

cat sftp-user 
(pemファイル)

sftp-user로 로그인 가능한지 확인

(bastionにて)
vi sftp-user.pem
コピペ内容貼り付け
ssh -i sftp-user.pem  sftp-user @Private IP

sftp-user를 파일 전송 전용 사용자로 만들기

vi /etc/ssh/sshd_config

# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server
　　↓

# override default of no subsystems
#Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp

ファイルの末尾に、以下を追記。

Match User sftp-user
        ChrootDirectory /home/sftp-user
        ForceCommand internal-sftp

특정 디렉토리를 다른 디렉토리에 마운트
/var/www/html 디렉토리의 내용은 두 위치,/var/www/html 및/home/sftp-user/hoge/에서 사용할 수 있습니다.

mount -B /var/www/html /home/sftp-user/hoge/

/home/sftp-user 디렉토리의 소유자 및 권한 변경

chown root:root /home/sftp-user
chmod 755 /home/sftp-user

사용자 디렉토리 내에 디렉토리를 작성하고 사용자가 소유

mkdir /home/sftp-user/hoge
chown sftp-user:sftp-user /home/sftp-user/hoge
chmod 775 /home/sftp-user/hoge

sshd를 다시 시작하고 설정을 반영

sshd -t
エラーがなければ再起動
service sshd restart

sftp 명령으로 전송합니다.

（hoge directoryにcdしなければ、putは失敗した。）

sftp -i sftp-user.pem sftp-user@踏み台の先のEC2 Private IP
Connected to XXX
sftp> cd /hoge/
sftp> put XXX.jpeg 
Uploading XXX.jpeg to /hoge/XXX.jpeg
XXX.jpeg                                                                                                                                                        100%   11KB  20.3MB/s   00:00    
sftp> exit

/var/www/html配下に移動できているか確認

ls -la /var/www/html/XXX.jpeg 
-rwx------. 1 sftp-user sftp-user 11136 Sep 13 09:56 /var/www/html/XXX.jpeg

일단 포트 포워딩을 수행하여 파일 전송이 가능한지 확인

ポートフォワーディング
ssh -f -N -L 10220(任意):踏み台の先のEC2 Private IP:22 -i 秘密鍵 踏み台OSユーザー@踏み台Public IP

FTP 소프트웨어로 연결하고 파일 전송.

총괄

좀처럼 안전한 환경이 생긴 것이 아닐까요. (코나미)

참고

https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/5/html/global_file_system_2/s1-manage-pathnames
https://lab.taf-jp.com/sftp%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%82%92%E4%BD%9C%E6%88%90%E3%81%97%E3%81%A6%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E8%BB%A2%E9%80%81%E7%94%A8%E3%81%AB%E4%BD%BF%E7%94%A8%E3%81%99%E3%82%8B/
https://cloudpack.media/14365

참고로 했습니다. 감사합니다.

Reference

이 문제에 관하여(SFTP 전용 사용자를 만들고 특정 디렉토리만 업데이트할 수 있도록 제한), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/namely_/items/e2d436c054d7f6641ab3

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다