##FTP, SFTP 전용계정 등을 로그인쉘을 nologin으로 설정하여 보안을 강화할 수 있다.
##chroot 설정(필요시 설정 가능)
원래 sftp 는 기본이 상위디렉토리로 접근 가능.
chroot 가 설정되면 ssh 접속도 안되기 때문에 sftp 용도로만 사용할 계정에 대해서만 chroot기능을 설정할수 있음. sftp 를 무조건 사용해야 한다고 하고 해당 계정이 nologin 설정이 되어 있다면 chroot 설정 가능
https://access.redhat.com/solutions/20764
How to set up SFTP to chroot only for specific users - Red Hat Customer Portal
How to set up sftp to chroot only for specific users How to set up sftp so that a user can't get out of their home directory, ensuring no other users are affected Preserve normal ssh/sftp functionality for most other users Support for sftp/scp account jail
access.redhat.com
1. sshd_config에 해당 내용 추가
Match User test
ChrootDirectory /home/test
ForceCommand internal-sftp
X11Forwarding no
AllowTCPForwarding no
2.계정 홈디렉토리 권한 변경
# chown root:root /home/test
# chmod 755 /home/test
##sshd_config 설정
1) sftp-server : sftp 필요 계정에 대한 chroot 환경 설정 필요(sftp 프로세스 별도로 띄워서 추가 권한설정된 계정만 사용허용)
2) internal-sftp : sshd 프로세스 안에 포함된 sftp 기능 사용, nologin 유저가 별도의 설정없이 sftp사용가능(권고 방법)
##nologin 설정 방법
1. nologin 계정 생성
useradd -s /sbin/nologin 계정이름
2. 패스워드 설정
passwd 계정이름
3. sshd_config 수정
/etc/ssh/sshd_config 파일에서 아래 라인 수정
수정 전 : Subsystem sftp /usr/libexec/openssh/sftp-server
수정 후 : Subsystem sftp internal-sftp
4. SSH 데몬 재기동
systemctl restart sshd
5. 정상 작동하는지 테스트
sftp 계정명@호스트IP
'IT > Linux | AIX' 카테고리의 다른 글
| Linux 라우팅 테이블 (0) | 2021.01.12 |
|---|---|
| amCLI 명령어_레이드_Fujitsu (0) | 2020.09.20 |
| NFS export & mount (0) | 2020.09.16 |
| rsync 복제 (3) | 2020.09.15 |
| Linux System Administration(1) - 리눅스 쉘 핵심 커맨드 기능 및 활용 (0) | 2019.05.21 |