Быстро, доступно, безопасно!
Магазин готовых сайтов

Работа с пользователями в FreeBSD 13.2

Настройка сервера на FreeBSD 13.2 -> Пользователи

Добавить пользователя в систему FreeBSD: adduserдобавить пользователя, когда его домашний каталог уже существует: pw useradd username -d /home/existing_home_dir -s /bin/shзадать или изменить пароль пользователя: passwd username

В целях безопасности пользователи не должны иметь доступ к файлам других пользователей системы, для этого необходимо ограничить их права доступом только к своему домашнему каталогу.

Для этого редактируем файл конфигурации SSHD: vim /etc/ssh/sshd_configв конец файла добавляем следующие строки, чтобы настроить ограничение для пользователя: Match User user1
    ChrootDirectory /home/user1
    X11Forwarding no
    AllowTcpForwarding no
    ForceCommand internal-sftp

Эта конфигурация делает следующее:

  • Match User user1 указывает, что последующие строки будут применяться только к пользователю user1.
  • ChrootDirectory /home/user1 ограничивает пользователя user1 домашним каталогом /home/user1, делая его корневым каталогом для этого пользователя.
  • X11Forwarding no запрещает перенаправление X11 (графический интерфейс).
  • AllowTcpForwarding no запрещает перенаправление TCP.
  • ForceCommand internal-sftp ограничивает пользователя выполнением только SFTP операций, не разрешая получение оболочки. Это хорошо подходит для ограничения доступа к файловой системе через SSH.

Для работы ChrootDirectory требуется, чтобы у домашнего каталога пользователя и всех его родительских каталогов были права доступа, установленные строго в соответствии с требованиями безопасности SSH. Домашний каталог пользователя и все каталоги на пути к нему должны принадлежать пользователю root и не должны быть доступны для записи группе или другим пользователям.

Меняем владельца каталога пользователя: chown root:wheel /home/user1и права доступа к каталогу: chmod 755 /home/user1

Перезапустить службу SSHD для применения изменений: service sshd restart

При использовании ChrootDirectory, мы ограничили пользователя только SFTP доступом через параметр ForceCommand internal-sftp. Подключение по SSH будет невозможно (что нам и требуется). Команда ForceCommand internal-sftp запрещает выполнение любых команд, кроме SFTP, что означает, что SSH-сессии будут немедленно закрыты сервером.

Метки: user; пользователи

Опрос

Адаптирован ли ваш сайт для смартфонов и планшетов? (голосов: 33)

  • Да - 4 (12%)
  • Нет - 2 (6%)
  • Не знаю - 1 (3%)
  • Нет сайта - 26 (79%)