У многим приликама морамо преносити више информација између уређаја, а најчешћи начин за то, који траје више од 20 година, је коришћење ФТП протокола (Филе Трансфер Протоцол) и ФТП који омогућава пренос између повезаних рачунара. ТЦП по принципу клијент / сервер.
Са ФТП -ом користимо портове 20 и 21. Сада имамо нови предефинисани протокол који се зове СФТП и који сматрамо омогућеним на свим серверима који подржавају ССХ.
СФТП (ССХ протокол за пренос датотека) разликује се од типа ФТП, иако подржава све ФТП клијенте које данас налазимо. Иако је СФТП имплементиран за додавање слоја сигурности, он представља рањивост на нивоу приступа јер, као стандард, одобрава потпуни приступ корисницима система за пренос датотека и употребу љуске.
Данас ће Солветиц научити како да конфигурише ЦентОС 7 да спречи одређене кориснике да имају ССХ приступ са слободом да манипулишу системом преко СФТП0 протокола.
1. Креирање корисника
Прво ћемо креирати корисника коме ће приступ бити ограничен путем ССХ -а, у овом случају ћемо га назвати приступом, извршавамо следеће:
судо аддусер аццессЗатим додељујемо лозинку новом кориснику извршавањем следећег:
судо приступ лозинком
2. Креирање директоријума за пренос датотека
Када се креира наш корисник, следећи корак је креирање директоријума у коме ће СФТП деловати, спречавајући приступ и то мора бити конфигурисано са одређеним параметрима.
Направићемо директоријум под називом / вар / сфтп / уплоадс у којем ће бити део / вар / сфтп, роот корисник ће бити његов власник и ниједан други корисник неће имати активне дозволе, а у под варном директоријуму / вар / сфтп / уплоадс власник ће бити приступ новом кориснику. Директоријум правимо помоћу следеће линије:
судо мкдир -п / вар / сфтп / уплоадсЗатим успостављамо роот корисника као власника у наведеном директоријуму:
судо цховн роот: роот / вар / сфтпДајемо дозволе за писање роот кориснику и читамо осталим корисницима на наведеној путањи:
судо цхмод 755 / вар / сфтп
Сада мењамо власника отпремања тако да је то приступ корисника, извршавамо следеће:
судо цховн приступ: аццесс / вар / сфтп / уплоадс
3. Ограничавање приступа директоријуму
У овом кораку ћемо видети како ограничити приступ путем терминала на приступ корисника, али да ли ће бити могуће преносити датотеке. За то морамо уредити ССХ сервер са жељеним уређивачем, вим или нано, на следећи начин:
судо нано / етц / ссх / ссхд_цонфигВидећемо следеће:
У завршном делу датотеке додајемо следеће:
Подударање Приступ корисника ФорцеЦомманд интернал-сфтп ПассвордАутхентицатион да ЦхроотДирецтори / вар / сфтп ПермитТуннел не АлловАгентФорвардинг не АлловТцпПослеђивање не Кс11Послеђивање не
Спремамо измене помоћу комбинације тастера Цтрл + О и излазимо из уређивача помоћу тастера Цтрл + Кс. Употребљена синтакса подразумева следеће:
Подударање корисникаРеците ССХ серверу да примени промене на тамо наведеног корисника.
ФорцеЦомманд интернал-сфтпПрисиљава ССХ сервер да покрене СФТП да спречи приступ љусци.
Потврда лозинке даОмогући аутентификацију лозинком
ЦхроотДирецтори / вар / сфтп /Односи се на чињеницу да назначени корисник неће имати приступ изван / вар / сфтп путање.
АлловАгентФорвардинг не, АлловТцпФорвардинг бр. и Кс11Просирање нијеОве опције онемогућавају прослеђивање портова, тунелирање и прослеђивање протокола Кс11 за наведеног корисника.
Када сачувамо датотеку, извршићемо следећу команду да бисмо применили промене у ССХ -у:
судо системцтл поново покрените ссхд
4. Провера ССХ везе
Корак 1
Када је ово конфигурисано, биће време за проверу приступа путем ССХ -а и проверу да ли ће бити могућ само пренос датотека. За ово идемо на везу преко ССХ -а која ће у овом случају бити.
ссх аццесс@192.168.0.14Када унесемо акредитиве за приступ, видећемо следећу поруку:
Корак 2
Овим смо потврдили да ће се веза затворити путем ССХ -а. Сада ћемо покушати везу помоћу сфтп протокола:
сфтп аццесс@192.168.0.14Уношењем лозинке видећемо да је веза успела и моћи ћемо да преносимо датотеке:
Корак 3
Тамо можемо да употребимо команду лс за попис расположивих директоријума и видећемо фасциклу за отпремање коју смо креирали:
Корак 4
Тамо можемо преместити информације, али ако се покушамо вратити у директоријум горе помоћу цд -а … нећемо добити грешку, али видимо да ниједан директоријум не може бити наведен:
Тако је једноставно да можемо ограничити приступ захваљујући сфтп -у.