tech:jailkit

使用 jailkit 限制使用者只能使用 scp/sftp 與特定目錄功能

因為最近有需要提供一個 sftp 的上傳檔案服務,但是不希望使用者可以用到 ssh 登入操作的功能,在 Google 大神的指示下,先找到了 rssh 但是無法成功安裝到 CentOS 5上面, 後來再找到 jailkit, 終於可以將這個合乎需求的開源自由軟體成功安裝與設定完成.

- 下載與安裝

  • 以下是針對在 CentOS 5 64bit 實際執行的語法
  • jailkit 版本為 2.7
su - root
cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.7.tar.gz
tar -zxvf jailkit-2.7.tar.gz
cd jailkit-2.7
./configure
make
make install
cp extra/jailkit /etc/init.d/jailkit
chmod a+x /etc/init.d/jailkit
chkconfig jailkit on
  • 如果有安裝 rpmforge 可以直接
    yum install jailkit

    下載安裝

  • 然後設定自動啟動
    chkconfig jailkit on

- 建立虛擬根目錄

  • 預計讓所有 sftp 使用者上來的根目錄為 /srv/sftpjail
jk_init -v -j /srv/sftpjail sftp scp
jk_init -v -j /srv/sftpjail jk_lsh

- 建立 sftp 使用者

  • 預計建立 sftpuser 當預設使用者以及 sftpuser1, sftpuser2 兩位實際使用者, 共用群組 sftpuser
useradd sftpuser
useradd -g sftpuser sftpuser1
useradd -g sftpuser sftpuser2
passwd sftpuser <- 設定 sftpuser 密碼
passwd sftpuser1 <- 設定 sftpuser1 密碼
passwd sftpuser2 <- 設定 sftpuser2 密碼
jk_jailuser -m -j /srv/sftpjail sftpuser
jk_jailuser -m -j /srv/sftpjail sftpuser1
jk_jailuser -m -j /srv/sftpjail sftpuser2
  • 建立完成之後可以在 /etc/passwd 看到如下的結果:
:
sftpuser:x:511:511::/srv/sftpjail/./home/sftpuser:/usr/sbin/jk_chrootsh
sftpuser1:x:512:511::/srv/sftpjail/./home/sftpuser1:/usr/sbin/jk_chrootsh
sftpuser2:x:513:511::/srv/sftpjail/./home/sftpuser2:/usr/sbin/jk_chrootsh
  • 在 /srv/sftpjail/etc/passwd 看到如下的結果:
:
sftpuser:x:511:511::/home/sftpuser:/usr/sbin/jk_lsh
sftpuser1:x:512:511::/home/sftpuser1:/usr/sbin/jk_lsh
sftpuser2:x:513:511::/home/sftpuser2:/usr/sbin/jk_lsh

- 建立虛擬 log device

  • jk_lsh 可能會出現一些訊息紀錄, 如果有這虛擬的 log device 就可以在 /var/log/message 內看到由 jk_lsh 產生的系統訊息
service syslog stop
syslogd -a /srv/sftpjail/dev/log
service syslog start
  • 這樣應該會自動更改到 /etc/jailkit/jk_socketd.ini , 內容如下:
[/srv/sftpjail/dev/log]
base=512
peak=2048
interval=10
  • 然後重新啟動 jailkit 的 daemon
service jailkit restart

- 設定 sftpuser 群組使用者權限

  • 編輯 /srv/sftpjail/etc/jailkit/jk_lsh.ini 設定 sftpuser 群組使用者只能執行 sftp 與 scp
[group sftpuser]
paths= /usr/bin, /usr/lib/
executables= /usr/bin/scp, /usr/libexec/openssh/sftp-server
  • 這樣的設定針對 SSH 不需要密碼登入方式 依然有效, 所以只需要將 Client 端的 id_dsa.pub 複製到 Server 端該 account 的 home 目錄內 .ssh/authorized_keys2 , 以下就用 sftpuser 這個 account 來做說明:
cp id_dsa.pub /srv/sftpjail/home/sftpuser/.ssh/authorized_keys2

將權限設定正確

chown -R sftpuser:sftpuser /srv/sftpjail/home/sftpuser/.ssh/
chmod 600 /srv/sftpjail/home/sftpuser/.ssh/authorized_keys2

參考資料

tech/jailkit.txt · 上一次變更: 2010/02/08 17:02 由 jonathan