ssh chroot 设置

目的

让特定的用户登录linux服务器后，对其操作权限进行限制：

• 不能使用任何方式杀掉服务器现有的进程
• 最好只能查看相关的目录和文件
• 最好只能运行特定的命令，比如cat、ls、tail等

场景模拟

一台nignx服务器，开发人员需要登录到这台服务上查看nginx的错误日志，并能够上传修改后的nginx.conf文件，但是没有权限重启nginx进程。
想让新修改的nginx.conf文件生效，需要运维人员介入。

操作步骤

• 给开发人员创建帐号并设置密码

# useradd developer
# echo '' | passwd --stdin developer 

• 修改sshd_config配置文件，并重启ssh服务

# echo 'Match User developer' >> /etc/ssh/sshd_config
# echo 'ChrootDirectory /home/developer' >> /etc/ssh/sshd_config
# sed -i 's/^Subsystem.*$/Subsystem sftp internal-sftp/' /etc/ssh/sshd_config
# systemctl restart sshd 

• 在上面规定的ChrootDirectory的目录下创建dev bin etc lib64 home等文件夹

# cd /home/developer
# mkdir ./{dev,etc,bin,lib64,home} 

• 设置dev文件夹

# cd /home/developer/dev
# mknod -m  null c
# mknod -m  tty c
# mknod -m  zero c
# mknod -m  random c   

• 设置bin文件夹

# cd /home/developer/bin
# cp /bin/bash .
# chroot=/home/developer   #定一个变量，赋值为ChrootDirectory定义的路径
# for i in `ldd /bin/bash | awk '{print $3}'| grep '^/lib'`;do cp -v $i $chroot/lib64/;done
# for i in `ldd /bin/bash | awk '{print $1}'| grep '^/lib'`;do cp -v $i $chroot/lib64/;done 

• 设置etc文件夹

# cd /home/developer/etc
# cp /etc/passwd /etc/group .
# echo 'export PATH=$PATH:/bin' > profile 

• 设置ChrootDirectory文件夹的权限,至此，可以使用登录了，但只能运行bash的内置命令

# chroot=/home/developer   #定一个变量，赋值为ChrootDirectory定义的路径
# chown -R root.root $chroot
# chmod  $chroot 

• 给用户添加ls命令

# cd /home/developer/bin
# which ls  #找到ls的路径，可以看到ls位于/usr/bin/ls，这个路径记下后续有用
# cp /usr/bin/ls .    #把ls拷贝到bin下
# ldd /usr/bin/ls   #查看ls命令所依赖的共享包
# chroot=/home/developer   #定一个变量，赋值为ChrootDirectory定义的路径
# for i in `ldd /usr/bin/ls | awk '{print $3}'| grep '^/lib'`;do cp -v $i $chroot/lib64/;done
# for i in `ldd /usr/bin/ls | awk '{print $1}'| grep '^/lib'`;do cp -v $i $chroot/lib64/;done 

• 同第8节，添加所需要的命令（例如ls、cat、vi、tail、sftp等），遵循以下几个步骤

①　查找命令在系统中的实际位置，并拷贝到bin目录下（此bin非系统的bin）
②　用ldd命令查找出命令运行时所依赖的共享包
③　把这些共享包拷贝到lib64下（同样，此lib64非系统的lib64）
④　可参考第8节，理解这几个步骤，可考虑写个脚本

#!/bin/bash

cmdlist="/bin/bash /bin/ls /bin/cp /bin/mkdir /bin/mv /bin/rm /bin/rmdir /usr/bin/ssh /usr/bin/id"

# chroot路径
chroot_path="/data"

# 判断依赖的库文件
lib_1=`ldd $cmdlist | awk '{ print $1 }' | grep "/lib" | sort | uniq`
lib_2=`ldd $cmdlist | awk '{ print $3 }' | grep "/lib" | sort | uniq`

# 复制命令文件
for i in $cmdlist
do
  if [ ! -d `dirname ${chroot_path}$i` ];then
  mkdir -p `dirname ${chroot_path}$i`
  fi
  cp -a $i ${chroot_path}$i && echo "$i done"
done
# 复制依赖的库文件(因为是i386，所以是lib，如果是x86_64，则是lib64,)
for j in $lib_1
do
  if [ ! -d `dirname ${chroot_path}$j` ];then
  mkdir -p `dirname ${chroot_path}$j`
  fi
  cp -f $j ${chroot_path}$j && echo "$j done"
done

for k in $lib_2
  do
  if [ ! -d `dirname ${chroot_path}$k` ];then
  mkdir -p `dirname ${chroot_path}$k`
  fi
  cp -f $k ${chroot_path}$k && echo "$k done"
done 

• 常见问题

①　执行for循环的时候，cp会提示文件覆盖，这是因为cp实际是cp -i 的别名，去掉别名即可。
②　按照上面的操作，ChrootDirectory是/home/developer，这个目录可以随便指定，假设上述nginx的日志在/var/log/nginx下，则指定ChrootDirectory为/var/log/nginx。

模拟结果

使用developer用户登录服务器的时候，只能运行添加的命令。特别的，需要文件传输的时候，还可以添加sftp命令。