OpenSSH の Chroot 機能を利用して SFTP のログ取得してみた | 黒ぶちメガネのblog
ChrootをしてSFTPログを取得した時の備忘録です。 ■説明 ここでは、OpenSSH の Chroot 機能を使用して一般ユーザーを Chroot させます。 一般ユーザーは、SFTP のみ利用可能な状態にし、そのログを取得できるようにします。 また、ログ取得にはrsyslogを利用します。 rsyslogでは、 Chroot 先のディレクトリにログを受け取るソケットを作成します。 ■OSバージョン CentOS 6.3 64bit ■OpenSSHバージョン openssh-5.3p1-81.el6.x86_64 openssh-server-5.3p1-81.el6.x86_64 ■rsyslogバージョン rsyslog-5.8.10-2.el6.x86_64 ■chrootユーザー test ■chroot先 /chroot ■chroot設定 http://www.kuro
sshdの公開鍵・パスワード認証をユーザー毎に変える方法(chroot・umaskも設定) | TeraDas(テラダス)
sshd の認証方式を「公開鍵認証のみ」に制限すると、sftp でも公開鍵認証が必須となりますが、実務上、パスワード認証しか使えないアプリからのアップロードも例外的に許可したい場合があります。 今回は、そういう場合の実用解というか、落とし所を自分なりにまとめてみました。 ちなみに、パスワード認証の sftp 経由でアップロードしたいファイルは、WEB の静的コンテンツを想定しています。 細かいコマンドなどの説明は避け、概要と方針、また重要な設定のみ書かせていただきます。 あくまでも「やり方のひとつ」ですので、参考程度にお願います。 ※この記事は追記、更新する可能性があります。 パスワード認証を許可したユーザだけをchroot監獄に送り込む今回の「実用解」の全体像は以下のとおりです。 「sftp でのパスワード認証を一部ユーザーのみ許可。ただし、chroot の上、sftp のみを利用可とす
sftpとChrootDirectory - rougeref’s diary
4月9日のエントリで環境を作って、4月10日のエントリで問題を書いた件。 もう一度整理するとこんな感じ。 サーバ側はOpenSSHをつかって、クライアント側はputtyとFileZillaを使って比較的容易にセキュアなftpサーバをたてることができる。 しかしデフォルトのままの設定だと、サーバ上の読み込み権があるファイルが丸見えになる。 SSHでログインされることもある。SFTPアクセスだけに制限したい。 考えられるのはsftpでアクセスしてくるユーザにchrootっぽい制限をかけて、特定のディレクトリ以外のアクセスを許さないこと。tectia(商用ssh)にはユーザ単位にchrootをかける機能があります。OpenSSHも4.8から似たような機能が追加されました。今日はそれを試してみます。 だいたいここの通り。ちょっと間違っているところがあるのでそこは修正しました。 ユーザを作成する 今
CentOSとchrootの設定 - Notitle
答えを見つけるのにかなり苦労した。 CentOsでchrootを設定しようと試行錯誤をしていたのだけど どういうわけかWinSCPでアクセスして、ファイル転送しようとすると Permissionセラーとなり、ファイルを転送できない。 ポートやカーネルなどなど 色々検討してみたが、結果的に改善できず、 思わずあきらめようかと思ったりもした。 でも、無事に転送ができるようになった。 そこでchroot設定について記載しておく。 ユーザ追加 useradd sftpuser passwd sftpuser usermod -d / sftpuser ディレクトリの設定 chmod 755 /home/sftpuser/ chown root:root /home/sftpuser/ mkdir /home/sftpuser/data/ chmod 755 /home/sftpuser/data/
chrootではシンボリックリンクが使えない。ならば… | 俺的備忘録 〜なんかいろいろ〜
FTPやsshで、ログインユーザーのルートディレクトリを変更する事が出来るのがchrootだ。 この機能、セキュリティを考慮してユーザーが出来る操作内容に制限を加えるには便利なんだけど、chrootで定義したルートディレクトリ外のシンボリックリンクへは利用出来ないという点がある。 シンボリックリンクを利用出来ない中、chrootのルートディレクトリより上位のディレクトリを参照させる場合、mountを用いる事で対処出来る。 mount -B マウント元ディレクトリ マウント先ディレクトリ 起動時に自動的にマウントする場合は、「/etc/fstab」に以下のように追記する。 マウント元ディレクトリ マウント先ディレクトリ ファイルシステム bind 0 0
知らぬはエンジニアの恥。今さら聞けない【コンテナ/仮想化技術】11選 - paiza times
Photo by Sam MacCutchan どうも後藤です! もう10年以上になるでしょうか・・・ とにかくなんでもかんでも仮想化すればよいというこの風潮。paizaでも仮想化技術は大活躍中。インフラは仮想化技術の上に構築されているし、もちろんコードの評価環境だってばりばりの仮想環境上です。仮想環境ばっちこーい! いったいいつからこんな流れになったんでしょう?どこに基準を求めるかでだいぶかわりますけれども、執筆現在から考えると、こうした流れには35年くらいの歴史があります。使われる仮想化技術は時代とともにかわってきました。だいたいどの時代にも流行ってものがありました。 最近(2014年ごろ)の流行とえば、インフラの一番下にハイパーバイザを入れて、その上でDockerを動かして、管理にはChefやPuppetを使うといったものです。数年経てば状況は変わるでしょうけれども、とにかく楽をした
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
chrootされたsftp専用ユーザを作るメモ - Qiita