Работа с пользователями в FreeBSD 13.2
Настройка сервера на FreeBSD 13.2 -> Пользователи
Добавить пользователя в систему FreeBSD: adduserдобавить пользователя, когда его домашний каталог уже существует: pw useradd username -d /home/existing_home_dir -s /bin/shзадать или изменить пароль пользователя: passwd username
В целях безопасности пользователи не должны иметь доступ к файлам других пользователей системы, для этого необходимо ограничить их права доступом только к своему домашнему каталогу.
Для этого редактируем файл конфигурации SSHD: vim /etc/ssh/sshd_configв конец файла добавляем следующие строки, чтобы настроить ограничение для пользователя: Match User user1
ChrootDirectory /home/user1
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
Эта конфигурация делает следующее:
- Match User user1 указывает, что последующие строки будут применяться только к пользователю user1.
- ChrootDirectory /home/user1 ограничивает пользователя user1 домашним каталогом /home/user1, делая его корневым каталогом для этого пользователя.
- X11Forwarding no запрещает перенаправление X11 (графический интерфейс).
- AllowTcpForwarding no запрещает перенаправление TCP.
- ForceCommand internal-sftp ограничивает пользователя выполнением только SFTP операций, не разрешая получение оболочки. Это хорошо подходит для ограничения доступа к файловой системе через SSH.
Для работы ChrootDirectory требуется, чтобы у домашнего каталога пользователя и всех его родительских каталогов были права доступа, установленные строго в соответствии с требованиями безопасности SSH. Домашний каталог пользователя и все каталоги на пути к нему должны принадлежать пользователю root и не должны быть доступны для записи группе или другим пользователям.
Меняем владельца каталога пользователя: chown root:wheel /home/user1и права доступа к каталогу: chmod 755 /home/user1
Перезапустить службу SSHD для применения изменений: service sshd restart
При использовании ChrootDirectory, мы ограничили пользователя только SFTP доступом через параметр ForceCommand internal-sftp. Подключение по SSH будет невозможно (что нам и требуется). Команда ForceCommand internal-sftp запрещает выполнение любых команд, кроме SFTP, что означает, что SSH-сессии будут немедленно закрыты сервером.
Метки: user; пользователи
Опрос
В каком году был сделан ваш сайт? (голосов: 24)
- до 2015 года - 23 (96%)
- в 2015 - 0 (0%)
- в 2016 - 0 (0%)
- в 2017 - 0 (0%)
- в 2018 - 1 (4%)
- в 2019 - 0 (0%)