由于工作需求,需要在Linux上建立SSH、MySQL两个用户。

使这两个账户连接到跳板机后仅能执行有限的命令(SSH用户只能执行SSH命令,MySQL用户只能执行MySQL命令)。

MySQL账户Chroot效果:

SSH账户Chroot效果:

步骤

编辑system-auth-ac文件并添加:

vi /etc/pam.d/system-auth-ac

session required  pam_chroot.so debug

session required  pam_mkhomedir.so skel=/etc/skel/ umask=0022

编辑chroot配置文件并添加:

vi /etc/security/chroot.conf

mysql   /home/chroot-mysql

ssh     /home/chroot-ssh

编辑sshd文件并添加:

vi /etc/pam.d/sshd

session   required  pam_chroot.so

修改脚本以适应自己环境,修改后保存为chroot.sh 并sh chroot.sh 执行该脚本。

#!/bin/bash

#

# Author: Pravin Rane

#

# This script creates chroot env. Change CHROOT variable as per your requirement

# Tested on RHEL5, CentOS5, Fedora5

CHROOT="/home/chroot"

echo "chroot is $CHROOT"

echo "Creating directory sturcture"

mkdir $CHROOT

cd $CHROOT

mkdir home

mkdir etc

mkdir etc/security

mkdir bin

mkdir lib

mkdir usr

mkdir usr/bin

mkdir usr/share

mkdir usr/share/locale

mkdir var

mkdir var/log

mkdir proc

mkdir dev

mkdir dev/pts

mkdir -p usr/lib/locale/

mknod dev/null c 1 3

mknod dev/zero c 1 5

mknod dev/random c 1 8

mknod -m 0444 dev/urandom c 1 9

mknod dev/tty c 5 0

chown root.tty dev/tty

chmod 666 dev/tty

mknod dev/ptmx c 5 2

# Copy basic files

echo "Copying config files"

cp -pr /etc/skel /etc/environment /etc/passwd /etc/group /etc/localtime $CHROOT/etc/

cp -p /etc/security/console.handlers /etc/security/pam_env.conf $CHROOT/etc/security/

cp -p /var/log/lastlog $CHROOT/var/log/

cp -pr /usr/share/locale/en /usr/share/locale/en_US /usr/share/locale/locale.alias $CHROOT/usr/share/locale

cp -pr /usr/share/locale/zh_CN /usr/share/locale/zh /usr/share/locale/zh_CN.GB2312 $CHROOT/usr/share/locale

cp -pr /usr/share/i18n $CHROOT/usr/share

cp -pr /usr/lib/locale/locale-archive $CHROOT/usr/lib/locale

#COMMANDS="/bin/bash /usr/bin/mysql /usr/bin/ssh" #可根据实际需求增删命令

COMMANDS="/bin/bash /bin/ls /bin/mkdir /bin/mv /bin/pwd /bin/rm /usr/bin/id /usr/bin/ssh /bin/ping /usr/bin/mysql"

for prog in $COMMANDS;  do

cp $prog ./$prog

# obtain a list of related libraries

ldd $prog > /dev/null

if [ "$?" = 0 ] ; then

LIBS=`ldd $prog | awk '{ print $3 }'|grep -v 0x`

for l in $LIBS; do

mkdir -p ./`dirname $l` > /dev/null 2>&1

cp -p $l ./$l

done

fi

done

# For ssh You don't exist, go away

cp -pr /lib64/libnss_* $CHROOT/lib64/

if [ $? -eq 0 ]; then

echo ".."

echo "Chroot is successfully created at $CHROOT"

echo "1. Mount proc and devpts now using following commands"

echo "mount proc $CHROOT/proc -t proc"

echo "mount devpts $CHROOT/dev/pts -t devpts -o gid=5,mode=620"

echo ""

echo "2. Do the changes in syslogd as mentioned in script and restart it."

echo "Your syslogd's extra socket should be at $CHROOT/dev/log"

echo ""

echo "As a root run command \"chroot $CHROOT\" to test your setup"

fi

若使用chroot /home/$CHROOT 命令提示不存在XX目录则需拷贝相关库文件。

搜索缺失的库:

for i in `ldd /bin/bash`;do echo $i;done |grep -v = |grep -v 0x |grep /|xargs ls -l

将缺失的库文件拷贝到chroot对应lib文件夹里

示例

保存为1.sh 用sh 1.sh命令运行

cp -av /lib64/ld-linux-x86-64.so.2 /home/chroot-mysql/lib64

cp -av /lib64/ld-2.12.so /home/chroot-mysql/lib64

cp -av /lib64/libc.so.6 /home/chroot-mysql/lib64

cp -av /lib64/libc-2.12.so /home/chroot-mysql/lib64

cp -av /lib64/libdl.so.2 /home/chroot-mysql/lib64

cp -av /lib64/libdl-2.12.so /home/chroot-mysql/lib64

cp -av /lib64/libtinfo.so.5 /home/chroot-mysql/lib64

cp -av /lib64/libtinfo.so.5.7 /home/chroot-mysql/lib64

保存为1.sh 用sh 2.sh命令运行

cp -av /lib64/ld-linux-x86-64.so.2 /home/chroot-ssh/lib64

cp -av /lib64/ld-2.12.so /home/chroot-ssh/lib64

cp -av /lib64/libc.so.6 /home/chroot-ssh/lib64

cp -av /lib64/libc-2.12.so /home/chroot-ssh/lib64

cp -av /lib64/libdl.so.2 /home/chroot-ssh/lib64

cp -av /lib64/libdl-2.12.so /home/chroot-ssh/lib64

cp -av /lib64/libtinfo.so.5 /home/chroot-ssh/lib64

cp -av /lib64/libtinfo.so.5.7 /home/chroot-ssh/lib64

执行完脚本需挂载

mount proc /home/chroot/proc -t proc

mount devpts /home/chroot/dev/pts -t devpts -o gid=5,mode=620""

在新的chroot目录下的home下创建空的用户名目录 (没有此目录会报错)

cd /home/chroot-mysql/home

mkdir mysql

cd /home/chroot-ssh/home

mkdir ssh

添加中文支持

mkdir -p usr/lib/locale/

cp -pr /usr/lib/locale/locale-archive $CHROOT/usr/lib/locale

将chroot-ssh下的.bash_profile文件内添加

LANG=zh_CN.UTF-8

制作具有SSH、MySQL功能的Chroot的更多相关文章

  1. JSP+SSH+Mysql+C3P0实现的传智播客网上商城

    项目简介 项目来源于:https://gitee.com/2121/shop 本系统是传智播客授课时的开发案例,基于JSP+SSH+Mysql的简单网上商城.在当代开发中,SSH的使用已经逐渐被SSM ...

  2. AndroidStudio制作登录和注册功能的实现,界面的布局介绍

    前言 大家好,给大家带来AndroidStudio制作登录和注册功能的实现,界面的布局介绍的概述,希望你们喜欢 每日一句: Success is connecting with the world a ...

  3. 制作可以 SSH 登录的 Docker 镜像

    Docker使用系列一我们把镜像源改为了阿里云的,方便后续的操作. 执行这个命令就把源地址改为阿里的: curl https://git.oschina.net/feedao/Docker_shell ...

  4. 用arduino制作具有无限数据传输功能的气象站

    本项目是用arduino开源硬件,来快速制作具有无限数据传输功能的气象站,我之前做过一个带数据记录功能的气象站项目,这次算是升级和改进的版本. 第1步:构想 首先,需要增加从气象站到室内接收器的无线数 ...

  5. [MySQL+PHP] 触发器及存储过程等MySQL功能在PHP中实现的坑

    折腾了一下午,始终没有能搞定在PHP中编写事件. 因为业务需求,需要实现一个预操作的功能,即业务人员填写未来的某个要做某个操作.在这个日期到来之前,则一切照常. 想通过PHP编写MySQL Event ...

  6. PHP的GD 支持和加载MySQL功能

    本机安装dedecms时发现, GD 支持 On [×]Off (不支持将导致与图片相关的大多数功能无法使用或引发警告) MySQL 支持 On [×]Off (不支持无法使用本系统) 错误,原来是环 ...

  7. excel具有制作甘特图的功能

    1.Excel最大功能:数据处理.统计分析. 2.数据有效性验证: 长数字输入方法,文本前面加英文"'"(单引号)或使用文本转换. 身份证号:数据.数据有效性.文本长度. 性别:数 ...

  8. WPF制作的一个小功能,智能提示(IntelliSense)

    原文http://www.cnblogs.com/scheshan/archive/2012/06/30/2570867.html 最近WPF项目中遇到一个需求,需要给一个RichTextBox添加智 ...

  9. 创建一个C++制作的包含Opencv功能的dll,供C#程序使用

    目的:获取某图片指定位置的颜色. 实现该目的的方法有很多,但为了有助于扩充自己技术广度,所以决定采用标题中的方法来完成. 没有C++编程经验,也没有制作C++版Opencv语法经验,也没有制作dll的 ...

随机推荐

  1. 创建支持多种屏幕尺寸的Android应用

    Android涉及各种各样的支持不同屏幕尺寸和密度的设备.对于应用程序,Android系统通过设备和句柄提供了统一的开发环境,大部分工作是校正每一个应用程序的用户界面到它显示的屏上.与此同时,系统提供 ...

  2. 在这个变化的年代,IT人的方向在哪里?看两个故事

    王超是我的朋友,来京四年整.最初在一家民企做LINUX运维工程师,月薪5000.工作很认真,埋头苦干型,每天工作时间很长,让加班从来无怨言.即使是周末休假,只要有工作任务也是随叫随到.然而当他提涨薪时 ...

  3. form上传文件以及跨域异步上传

    要设置了enctype属性才能上传,需要使用上传的jar包,这里使用的是cos-26Dec2008.jar, 而且后台获取值的时候,getfile要放在第一位 一次设置好上传格式后没有上传文件,也就没 ...

  4. Elasticsearch聚合 之 Ip Range IP地址范围聚合

    相对于range和date range,这个聚合就是能够表示IP的范围. 普通IP模式 DSL命令: { "aggs":{ "ip_ranges":{ &quo ...

  5. 探秘重编译(Recompilations)(2/2)

    在上一篇文章里,我讨论了使用临时表如何引起SQL Server里的重编译.在文章最后我提到,今天这篇文章我会聚焦表变量(Table Variables)的更多信息,它可以避免重编译的昂贵开销.我们来详 ...

  6. 关于WEB Service&WCF&WebApi实现身份验证之WEB Service篇

    在这个WEB API横行的时代,讲WEB Service技术却实显得有些过时了,过时的技术并不代表无用武之地,有些地方也还是可以继续用他的,我之所以会讲解WEB Service,源于我最近面试时被问到 ...

  7. 【转载】GPU 加速下的图像处理

    Instagram,Snapchat,Photoshop. 所有这些应用都是用来做图像处理的.图像处理可以简单到把一张照片转换为灰度图,也可以复杂到是分析一个视频,并在人群中找到某个特定的人.尽管这些 ...

  8. JAVA - IDEA快捷键(精简版)

    快捷键 功能 Ctrl + Alt + V 对应eclipse ctrl + l + 2 自动补全 Ctrl + Alt + L 对应eclipse ctrl + shift + o 代码格式化 Ct ...

  9. 添加html元素

    html: <div id='divContainer'> </div> 1.使用DOM对象添加元素 var el = document.createElement('div' ...

  10. Web API应用架构设计分析(2)

    在上篇随笔<Web API应用架构设计分析(1)>,我对Web API的各种应用架构进行了概括性的分析和设计,Web API 是一种应用接口框架,它能够构建HTTP服务以支撑更广泛的客户端 ...