由于工作需求,需要在Linux上建立SSH、MySQL两个用户。

使这两个账户连接到跳板机后仅能执行有限的命令(SSH用户只能执行SSH命令,MySQL用户只能执行MySQL命令)。

MySQL账户Chroot效果:

SSH账户Chroot效果:

步骤

编辑system-auth-ac文件并添加:

vi /etc/pam.d/system-auth-ac

session required  pam_chroot.so debug

session required  pam_mkhomedir.so skel=/etc/skel/ umask=0022

编辑chroot配置文件并添加:

vi /etc/security/chroot.conf

mysql   /home/chroot-mysql

ssh     /home/chroot-ssh

编辑sshd文件并添加:

vi /etc/pam.d/sshd

session   required  pam_chroot.so

修改脚本以适应自己环境,修改后保存为chroot.sh 并sh chroot.sh 执行该脚本。

#!/bin/bash

#

# Author: Pravin Rane

#

# This script creates chroot env. Change CHROOT variable as per your requirement

# Tested on RHEL5, CentOS5, Fedora5

CHROOT="/home/chroot"

echo "chroot is $CHROOT"

echo "Creating directory sturcture"

mkdir $CHROOT

cd $CHROOT

mkdir home

mkdir etc

mkdir etc/security

mkdir bin

mkdir lib

mkdir usr

mkdir usr/bin

mkdir usr/share

mkdir usr/share/locale

mkdir var

mkdir var/log

mkdir proc

mkdir dev

mkdir dev/pts

mkdir -p usr/lib/locale/

mknod dev/null c 1 3

mknod dev/zero c 1 5

mknod dev/random c 1 8

mknod -m 0444 dev/urandom c 1 9

mknod dev/tty c 5 0

chown root.tty dev/tty

chmod 666 dev/tty

mknod dev/ptmx c 5 2

# Copy basic files

echo "Copying config files"

cp -pr /etc/skel /etc/environment /etc/passwd /etc/group /etc/localtime $CHROOT/etc/

cp -p /etc/security/console.handlers /etc/security/pam_env.conf $CHROOT/etc/security/

cp -p /var/log/lastlog $CHROOT/var/log/

cp -pr /usr/share/locale/en /usr/share/locale/en_US /usr/share/locale/locale.alias $CHROOT/usr/share/locale

cp -pr /usr/share/locale/zh_CN /usr/share/locale/zh /usr/share/locale/zh_CN.GB2312 $CHROOT/usr/share/locale

cp -pr /usr/share/i18n $CHROOT/usr/share

cp -pr /usr/lib/locale/locale-archive $CHROOT/usr/lib/locale

#COMMANDS="/bin/bash /usr/bin/mysql /usr/bin/ssh" #可根据实际需求增删命令

COMMANDS="/bin/bash /bin/ls /bin/mkdir /bin/mv /bin/pwd /bin/rm /usr/bin/id /usr/bin/ssh /bin/ping /usr/bin/mysql"

for prog in $COMMANDS;  do

cp $prog ./$prog

# obtain a list of related libraries

ldd $prog > /dev/null

if [ "$?" = 0 ] ; then

LIBS=`ldd $prog | awk '{ print $3 }'|grep -v 0x`

for l in $LIBS; do

mkdir -p ./`dirname $l` > /dev/null 2>&1

cp -p $l ./$l

done

fi

done

# For ssh You don't exist, go away

cp -pr /lib64/libnss_* $CHROOT/lib64/

if [ $? -eq 0 ]; then

echo ".."

echo "Chroot is successfully created at $CHROOT"

echo "1. Mount proc and devpts now using following commands"

echo "mount proc $CHROOT/proc -t proc"

echo "mount devpts $CHROOT/dev/pts -t devpts -o gid=5,mode=620"

echo ""

echo "2. Do the changes in syslogd as mentioned in script and restart it."

echo "Your syslogd's extra socket should be at $CHROOT/dev/log"

echo ""

echo "As a root run command \"chroot $CHROOT\" to test your setup"

fi

若使用chroot /home/$CHROOT 命令提示不存在XX目录则需拷贝相关库文件。

搜索缺失的库:

for i in `ldd /bin/bash`;do echo $i;done |grep -v = |grep -v 0x |grep /|xargs ls -l

将缺失的库文件拷贝到chroot对应lib文件夹里

示例

保存为1.sh 用sh 1.sh命令运行

cp -av /lib64/ld-linux-x86-64.so.2 /home/chroot-mysql/lib64

cp -av /lib64/ld-2.12.so /home/chroot-mysql/lib64

cp -av /lib64/libc.so.6 /home/chroot-mysql/lib64

cp -av /lib64/libc-2.12.so /home/chroot-mysql/lib64

cp -av /lib64/libdl.so.2 /home/chroot-mysql/lib64

cp -av /lib64/libdl-2.12.so /home/chroot-mysql/lib64

cp -av /lib64/libtinfo.so.5 /home/chroot-mysql/lib64

cp -av /lib64/libtinfo.so.5.7 /home/chroot-mysql/lib64

保存为1.sh 用sh 2.sh命令运行

cp -av /lib64/ld-linux-x86-64.so.2 /home/chroot-ssh/lib64

cp -av /lib64/ld-2.12.so /home/chroot-ssh/lib64

cp -av /lib64/libc.so.6 /home/chroot-ssh/lib64

cp -av /lib64/libc-2.12.so /home/chroot-ssh/lib64

cp -av /lib64/libdl.so.2 /home/chroot-ssh/lib64

cp -av /lib64/libdl-2.12.so /home/chroot-ssh/lib64

cp -av /lib64/libtinfo.so.5 /home/chroot-ssh/lib64

cp -av /lib64/libtinfo.so.5.7 /home/chroot-ssh/lib64

执行完脚本需挂载

mount proc /home/chroot/proc -t proc

mount devpts /home/chroot/dev/pts -t devpts -o gid=5,mode=620""

在新的chroot目录下的home下创建空的用户名目录 (没有此目录会报错)

cd /home/chroot-mysql/home

mkdir mysql

cd /home/chroot-ssh/home

mkdir ssh

添加中文支持

mkdir -p usr/lib/locale/

cp -pr /usr/lib/locale/locale-archive $CHROOT/usr/lib/locale

将chroot-ssh下的.bash_profile文件内添加

LANG=zh_CN.UTF-8

制作具有SSH、MySQL功能的Chroot的更多相关文章

  1. JSP+SSH+Mysql+C3P0实现的传智播客网上商城

    项目简介 项目来源于:https://gitee.com/2121/shop 本系统是传智播客授课时的开发案例,基于JSP+SSH+Mysql的简单网上商城.在当代开发中,SSH的使用已经逐渐被SSM ...

  2. AndroidStudio制作登录和注册功能的实现,界面的布局介绍

    前言 大家好,给大家带来AndroidStudio制作登录和注册功能的实现,界面的布局介绍的概述,希望你们喜欢 每日一句: Success is connecting with the world a ...

  3. 制作可以 SSH 登录的 Docker 镜像

    Docker使用系列一我们把镜像源改为了阿里云的,方便后续的操作. 执行这个命令就把源地址改为阿里的: curl https://git.oschina.net/feedao/Docker_shell ...

  4. 用arduino制作具有无限数据传输功能的气象站

    本项目是用arduino开源硬件,来快速制作具有无限数据传输功能的气象站,我之前做过一个带数据记录功能的气象站项目,这次算是升级和改进的版本. 第1步:构想 首先,需要增加从气象站到室内接收器的无线数 ...

  5. [MySQL+PHP] 触发器及存储过程等MySQL功能在PHP中实现的坑

    折腾了一下午,始终没有能搞定在PHP中编写事件. 因为业务需求,需要实现一个预操作的功能,即业务人员填写未来的某个要做某个操作.在这个日期到来之前,则一切照常. 想通过PHP编写MySQL Event ...

  6. PHP的GD 支持和加载MySQL功能

    本机安装dedecms时发现, GD 支持 On [×]Off (不支持将导致与图片相关的大多数功能无法使用或引发警告) MySQL 支持 On [×]Off (不支持无法使用本系统) 错误,原来是环 ...

  7. excel具有制作甘特图的功能

    1.Excel最大功能:数据处理.统计分析. 2.数据有效性验证: 长数字输入方法,文本前面加英文"'"(单引号)或使用文本转换. 身份证号:数据.数据有效性.文本长度. 性别:数 ...

  8. WPF制作的一个小功能,智能提示(IntelliSense)

    原文http://www.cnblogs.com/scheshan/archive/2012/06/30/2570867.html 最近WPF项目中遇到一个需求,需要给一个RichTextBox添加智 ...

  9. 创建一个C++制作的包含Opencv功能的dll,供C#程序使用

    目的:获取某图片指定位置的颜色. 实现该目的的方法有很多,但为了有助于扩充自己技术广度,所以决定采用标题中的方法来完成. 没有C++编程经验,也没有制作C++版Opencv语法经验,也没有制作dll的 ...

随机推荐

  1. 使用 CSS & jQuery 制作一款漂亮的多彩时钟

    大家可能见过各种各样的时钟效果,比如多年前非常流行的 Flash 制作的各种新奇的动画时钟,现在的 Web 开发者们又开始应用 CSS3 和 Canvas 等最新技术来实现.而今天这里要分享的这款漂亮 ...

  2. 在与 SQL Server 建立连接时出现与网络相关的或特定于实例的错误

    在visual studio 中添加数据库应用时,报错,提示如下: 在与 SQL Server 建立连接时出现与网络相关的或特定于实例的错误.未找到或无法访问服务器.请验证实例名称是否正确并且 SQL ...

  3. mysql插入日期 vs oracle插入日期

    今天做oracle日期插入的时候突然开始疑惑日期是如何插入的. 用框架久了,反而不自己做简单的工作了.比如插入. 通常,新建一个表对象,然后绑定数据,前端form提交,后端getModel后直接mod ...

  4. 笔记:Html.Partial和Html.Action

    1.带有Render的方法返回值是void,在方法内部进行输出:不带的返回值类型为MvcHtmlString,所以只能这样使用:@Html.Partial 对应 @{Html.RenderPartia ...

  5. 主成分分析(PCA)的一种直观理解

    源自知乎的一个答案,网上很多关于PCA的文章,不过很多都只讲到了如何理解方差的投影,却很少有讲到为什么特征向量就是投影方向.本文从形象角度谈一谈,因为没有证明,所以不会严谨,但是应该能够帮助形象理解P ...

  6. nagios监控流量脚本

    需求是我们需要对服务器上的流量进行监控,网络上有个流传的check_traffic.sh,它需要被监控机开启snmp.但是感觉都使用上了nagios还要开snmp...有点斧子剪刀一起用的感觉,所以就 ...

  7. angularJs案例汇总

    ---恢复内容开始--- 这里我会把学习过程中碰到的demo与大家分享,由浅入深,逐个分析. Eg1:入门必备 <html ng-app="todoApp"> < ...

  8. 三、BLE(上)

    1.      BLE 1.1       模块构成与结构体层次关系 如上图所示,BLE模块有独立的application layer,这是因为该模块可以直接从BlueCore接收数据(通过GATT模 ...

  9. IIS 架构解析

    我们在使用ASP.NET平台做web开发的时候,经常会接触到IIS(Internet Information Services 互联网信息服务).这篇文章主要来介绍IIS7.0+的架构.IIS的安全脆 ...

  10. 【转】jQuery中.bind() .live() .delegate() .on()的区别

    bind(type,[data],fn) 为每个匹配元素的特定事件绑定事件处理函数 $("a").bind("click",function(){alert(& ...