특정 폴더에 대한 액세스 권한 만 가진 ssh 사용자를 추가하는 방법은 무엇입니까?

특정 폴더에 대한 액세스 권한 만 가진 ssh 사용자를 추가하는 방법은 무엇입니까?

useradd -d /var/www/xyz.com.tr/musteri  -s /bin/bash -g sshd musteri

라는 사용자를 만들었습니다 musteri. 홈 폴더와 그룹을 설정했습니다. 따라서 musteri사용자를 "/var/www/xyz.com.tr/musteri" 에 통합하고 싶습니다 . 다른 폴더에 액세스하고 싶지 않습니다.

müşteriler가 실제로 쉘을주지 않고 폴더에 파일 전송 액세스를 갖길 원하는 것처럼 들립니다. binfalse가 지적했듯이 쉘이 실행하기 위해 시스템에 흩어져있는 모든 종류의 항목에 액세스해야하기 때문에 제한된 액세스 권한을 가진 사람들에게 쉘을 제공하는 것이 까다로워지기 때문에 이것은 좋은 것 입니다.

SFTP에 특정 폴더에 대한 액세스 권한을 부여하려면 다음과 같이하십시오.

1. 시스템에 새 그룹을 추가하십시오 (예 : 'sftponly').
2. 이 그룹에 대한 제한된 권한이 있어야하는 시스템의 사용자를 추가하십시오. / bin / true와 같은 제한된 쉘을 제공 할 수도 있지만 필수는 아닙니다.
3. /etc/ssh/sshd_config이 줄로 ssh 구성 파일을 변경하십시오 (보통 ).

    서브 시스템 sftp internal-sftp

    일치 그룹 sftponly
        ChrootDirectory % h
        AllowTCPForwarding 아니오
        전달 아니오
        ForceCommand 내부 FTP

이렇게하면 SSH 내부의 sftp 하위 시스템이 활성화되고 해당 시스템 그룹의 구성원이 로그인 할 때 해당 시스템 만 사용하게됩니다. 또한 홈 디렉토리에 chroot합니다. 홈 디렉토리의 하위 폴더로 변경 ChrootDirectory %h/musteri_sftp하여 나머지 시스템 파일을 볼 수는 없지만 홈 폴더의 특수 하위 폴더에 직접 로그인 할 수 있습니다.

코레이 겔신.

제 생각에 이것은 불가능하지는 않지만 매우 어렵습니다. 사용자가 SSH를 통해 연결할 때는 최소한 셸이 필요합니다 bash. 실행하려면 /bin/bash액세스 권한이 필요합니다 /bin. bash자체는 /etc(예 :)에서 일부 내용을 읽어야 /etc/bash.bashrc하므로 사용자도에 액세스해야 /etc합니다. 사용자가이 디렉토리에서 놀고 싶지 않다고 가정하면 파일을 읽고 싶을 수도 있지만 예를 들어 실행하려면에 vim액세스해야 /usr/bin합니다.
이것은 약간의 데모입니다. 더 많은 종속성이 있습니다. 예를 들어 사용자가에 액세스 할 수 없으면 어떻게 될지 모르겠습니다 /tmp.

당신은 당신의 의도에 대해 생각해야합니다. 누군가 웹 서비스의 일부에 대한 읽기 / 쓰기 액세스 권한을 갖기를 원하십니까? 그런 다음 특정 디렉토리를이 사용자에게 내보내도록 FTP와 같은 것을 설정할 수 있습니다. 따라서 SSH 액세스없이이 파일을 읽고 쓸 수 있습니다.
또 다른 좋은 해결책은 저장소입니다. 예를 들어 GIT 저장소를 설정하고 사용자가 복제 할 수 있도록합니다. 그는 로컬에서 자신의 변경을 수행하고 패치를 보낼 수 있습니다. 이 패치 적용 여부를 결정할 수 있습니다. 버그가있는 패치의 롤백도 매우 쉽습니다.