ssh锁定(chroot)普通账号的活动目录

1、创建一个普通账号:

[[email protected] ~]# useradd user1
[[email protected] ~]# passwd user1
Changing password for user user1.
New password: 
BAD PASSWORD: it is too simplistic/systematic
BAD PASSWORD: is too simple
Retype new password: 
passwd: all authentication tokens updated successfully

#一定要给账号设置密码

2、创建活动目录:

[[email protected] ~]# mkdir /vm/user1 -p

3、进入目录,创建需要的目录:

[[email protected] ~]# cd /vm/user1/
[[email protected] user1]# mkdir bin dev etc lib64 proc dev/pts -p
[[email protected] user1]# ll
total 20
drwxr-xr-x 2 root root 4096 Nov 23 01:33 bin
drwxr-xr-x 3 root root 4096 Nov 23 01:33 dev
drwxr-xr-x 2 root root 4096 Nov 23 01:33 etc
drwxr-xr-x 2 root root 4096 Nov 23 01:33 lib64
drwxr-xr-x 2 root root 4096 Nov 23 01:33 proc

4、拷贝需要的文件和库文件

#拷贝lib库文件:
 
[[email protected] user1]# pwd
/vm/user1
[[email protected] user1]# cp -a /lib64/* lib64/

#注:若是32位,则拷贝/lib/*
#拷贝密码文件:
 
[[email protected] user1]# pwd
/vm/user1
[[email protected] user1]# grep "user1:" /etc/passwd > etc/passwd
[[email protected] user1]# cat etc/passwd 
user1:x:504:504::/home/user1:/bin/bash                #只需要此用户这一行即可
#拷贝dev和proc:
 
[[email protected] user1]# CHROOT_DIR=/vm/user1/
[[email protected] user1]# mount proc $CHROOT_DIR/proc -t proc
[[email protected] user1]# mount devpts $CHROOT_DIR/dev/pts -t devpts
[[email protected] user1]# mknod $CHROOT_DIR/dev/ptmx c 5 2
[[email protected] user1]# chmod 666 /dev/ptmx
 
#注意:
mount proc $CHROOT_DIR/proc -t proc          #必须创建这个proc文件系统,用户登录后可以看到这个目录中有很多文件/子目录
mount devpts $CHROOT_DIR/dev/pts -t devpts   #devpts文件系统,提供访问终端的接口
mknod $CHROOT_DIR/dev/ptmx c 5 2             #必须有,用户登录后要使用它,作为作为伪终端的master设备
#拷贝脚本文件:
 
[[email protected] user1]# cp -a /bin/bash bin/    #必须要拷的
[[email protected] user1]# cp -a /bin/ls bin/
[[email protected] user1]# cp -a /bin/cat bin/
 
#根据自己的需求拷贝相应的脚本文件
#修改权限: 
[[email protected] user1]# chown -R user1. /vm/user1/*

5、修改/etc/pam.d/sshd

[[email protected] user1]# vim /etc/pam.d/sshd
添加:
session    required     pam_chroot.so

6、修改/etc/security/chroot.conf

[[email protected] user1]# vim /etc/security/chroot.conf
添加:
user1                   /vm/user1

7、重启sshd

[[email protected] user1]# /etc/init.d/sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

8、测试:

[[email protected] ~]# ssh [email protected]
[email protected]‘s password: 
Could not chdir to home directory /home/user1: No such file or directory
-bash-4.1$ ls
bin  dev  etc  lib64  proc
-bash-4.1$ ps
-bash: ps: command not found
-bash-4.1$ pwd
/
-bash-4.1$ cd /
-bash-4.1$ ls
bin  dev  etc  lib64  proc
-bash-4.1$

9、注意:

以上方法只能使用原系统中/bin/目录下的命令

对于/usr/bin/目录下的命令目前还有问题,无法使用

如:ssh命令,ssh命令需要用到/usr/lib64/目录下的相应的库文件

#使用以下脚本可以实现将命令依赖的/usr/lib64/下的库文件拷贝到活动目录的lib64/目录下
[[email protected] lib64]# vim abc.sh 
 
#!/bin/bash
 
cmd="ssh"
 
cd /vm/user1/lib64
for i in $cmd
do
        ldd `which $i` |grep "/usr/lib64/"|sed ‘s/(.*//g‘|awk ‘{print $NF}‘|while read j
        do
                \cp -a $j ./
                if [ `file $j | grep -c symbolic` -eq 1 ];then
                        sourceFile=`ls -l $j |awk ‘{print $NF}‘`
                        \cp -a `dirname $j`/$sourceFile ./
                fi
        done
done
#建议使用此方法:将/usr/lib64/全部拷贝过去
 
[[email protected] user1]# pwd
/vm/user1
[[email protected] user1]# mkdir usr
[[email protected] user1]# cp -a /usr/lib64/ usr/

即便将ssh依赖的/usr/lib64/目录下的库文件全部拷贝过去,ssh命令的使用还是有很多问题,尚待研究

时间: 2024-12-06 23:03:01

ssh锁定(chroot)普通账号的活动目录的相关文章

活动目录父子域用户迁移之:TFS&SharePoint问题汇总(一)

前段时间做了个项目,是关于父子域合并的,其实无非就是使用ADMT把域用户,计算机等从子域迁移到父域上,看似迁移用户很简单.But--生产环境啊,Exchange,TFS,Sharepoint,还有其余乱七八糟的东西,都使用了域账号,牵一发动全身的节奏,迁移账号出点儿问题相关用户就可以坐在那打酱油了,迁移前在他们生产环境中新建测试账号迁移,但是这种测试账号相对理想的环境,测试过程中很多问题不容易发现,很多问题是迁移了客户生产用户账号时出现了问题,但是于对于TFS一窍不通,sharepoint大多不

活动目录的综合应用(三)

              AD域环境的组策略配置 1.域中配置组策略的好处有哪些? 1).减小管理成本,因为只需设置一次,相应的用户或计算机即可全部应用规定的设置. 2).减少用户单独配置错误的可能性. 3).可以针对特定的对象(用户或计算机)实施特定的策略. 2.这里要想使用组策略就先简单设定几个对计算机的要求,来通过组策略对域成员计算机进行控制! 1).要求销售部可以更改时间! 2).要求市场部所有人登录时密码输错三次就锁定! 3).要求所有人不得使用开始菜单中的"运行"菜单!

windows 2008 活动目录实施方案

Windows Server 2008活动目录实施方案 1.     用户需求 要求 一:活动目录高可用,实现容灾 二:客户机成功加入域,限制财务的用户只能登陆到财务的客户机,每周一到周五实现财务部的用户能够成功登陆,其他时间不允许登陆. 三:组策略限制如下: 1. 限制所有员工桌面背景为1.jpg,为所有用户设置账户锁定策略,输错 两次密码锁定. 2. 限制行政部员工桌面背景为2.jpg 3. 限制销售部员工的开始菜单中删除运行图标,删除桌面的计算机图标        4.为所有客户端自动安装

Win2008R2活动目录回收站功能

活动目录回收功能的出现极大的方便了活动目录的管理人员.在2008R2以前每次误操作删除活动目录的账号都要进入目录还原模式进行还原.及其繁琐.现在我为大家介绍Windows2008R2新的功能活动目录回收站. 方法一 使用Active Directory Module for Windows PowerShell进行还原 1.要使用活动目录回收站,域和林的功能功级别要为Windows Server 2008R2或以上 2.启用回收站功能使用Active Directory Module for W

活动目录父子域用户迁移之:TFS&SharePoint问题汇总(二)

接着上一篇文章,继续汇总遇到的问题 四:Sharepoint账户名未自动更新 问题描述: 用户迁移后,账户名称处仍显示原有的登陆名 问题处理: 迁移后,在SharePoint服务器上运行命令: stsadm -o migrateuser -oldlogin olddomain\XXX -newlogin newdomain\xxx –ignoresidhistory 这个问题处理起来还是比较简单的,如果用户比较多,直接批量的脚本进行处理 五:TFS用户账户迁移 关于用户账户的迁移,迁移过去后,在

活动目录(AD)

活动目录又称AD, 为什么要学习AD? 微软针对计算机及用户账号的管理俩种模式, 一种为工作组称为分散式管理(工作组模式,没台计算机只负责管理本机的账号.):另一种像AD一样的叫集中式管理.(域环境,所有的账号信息存放于域控制器) 工作组实例: 希望XX能访问 server1,2的game文件夹 活动目录(AD)的定义:活动目录是微软Windows Server中提供的目录服务讲网络资源集中存放于目录数据库中便于管理. Active:活动 规模是扩张:采用DNS层次性的结构 理论上40亿对象 功

Active Directory 活动目录

Active Directory 活动目录 或者是简称为AD微软针对计算机及用户账号管理两种模式:1. 分散式管理   工作组   每台计算机只负责管理本机的账号    10台以内      SAM 2. 集中式管理    域环境   所有账号信息存放于域控制器 工作组实例: 希望 ys 能够访问  server02 . server03上的  game  文件夹 活动目录: 部署活动目录 :步骤1:准备DNS步骤2:部署活动目录步骤3:创建计算机账号步骤4:创建用户账号 场景1:  Serve

AD 活动目录方案

活动目录方案 Windows  Server 2008 的安装要求 组件 要求 处理器 最低:1Ghz 推荐: 2Ghz 最佳: 2Ghz 内存 最低:512MB RAM 推荐: 1GB RAM 最佳: 2GB RAM (Full) or 1GB RAM  (Server Core)或更多 最大(32-bit):4GB (标准版) or 64GB (企业和Datacenter版) 最大(64-bit):32GB (标准版) or 2TB (企业.Datacenter和Itanium版本 可用磁盘

活动目录的综合应用(二)

安装额外域控制器! 1.安装额外域控制器的优点 ◆提供容错功能 ◆提供负载均衡 ◆更易于用户的链接和访问 2.注意事项 ◆操作系统版本必须受当前域功能级别支持! ◆安装者必须具有域管理员权限! ◆计算机IP地址和DNS服务器地址配置正确(DNS服务器地址通常为第一台域控制器的ip地址). ◆确保计算机和第一台域控制器之间互相连通! 3.安装步骤 1).将另一台符合安装额外域控制器条件的服务器安装为主域控制器(DC)的额外域控制器!(比如ip地址.dns指向主域控制器-等,参考注意事项!) 2).