首页 > Linux > 如何对ssh登陆的用户进行限制

如何对ssh登陆的用户进行限制

2010年2月21日 发表评论 阅读评论

(这里应用的是linux pam认证体系和chroot切换根目录)

有些Linux默认是没有装libpam-chroot的,先装上
sudo apt-get install libpam-chroot

创建个用户guest
然后把chroot环境搞起来,我设置的是/chroot
sudo mkdir /chroot
sudo mkdir /chroot/bin
sudo mkdir /chroot/etc
sudo mkdir /chroot/home
sudo mkdir /chroot/lib
sudo mkdir /chroot/usr

等等
把你需要用到的命令cp过去
sudo cp /bin/bash /chroot/bin/
sudo cp /bin/ls /chroot/bin/
sudo cp /bin/cp /chroot/bin/
sudo cp /bin/mv /chroot/bin/
sudo cp /bin/rm /chroot/bin/

等等
把这些命令用到的库cp过去,这个比较麻烦,用
ldd /bin/bash

可以查到每个命令都需要哪些库,然后一个个cp
嫌麻烦的话可以把整个/lib和/usr/lib都搬过去
然后有些明显没用的再删掉,比如图形界面相关的
建立/chroot/etc/passwd,内容为/etc/passwd里面guest那一行
只要那一行,别的不要
sudo tail -1 /etc/passwd > /chroot/etc/passwd

修改/etc/pam.d/ssh 加一句
session required pam_chroot.so

修改/etc/security/chroot.conf 加一句
guest /chroot

然后差不多就可以了,我印象中就这些
当然/etc/ssh/sshd_config里面要允许guest远程登录
AllowUsers aaa bbb ccc guest

参考网址:http://bbs.linuxpk.com/thread-28527-1-1.html

分类: Linux 标签: ,
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.

注意: 评论者允许使用'@user空格'的方式将自己的评论通知另外评论者。例如, ABC是本文的评论者之一,则使用'@ABC '(不包括单引号)将会自动将您的评论发送给ABC。使用'@all ',将会将评论发送给之前所有其它评论者。请务必注意user必须和评论者名相匹配(大小写一致)。直接点击评论上方的回复实现此功能