[セキュリティ]


この日記のはてなブックマーク数 このエントリーを含むはてなブックマーク
scponlyscpのみを許可するシェルです。configure時に--enable-chrooted-binaryオプションをつければ、ユーザをホームディレクトリ内に閉じ込めることが可能です。以下設定方法。

[root@www src]# wget http://www.sublimation.org/scponly/scponly-4.1.tgz
[root@www src]# tar xvzf ./scponly-4.1.tgz
[root@www src]# cd scponly-4.1
[root@www src]# ./configure --enable-chrooted-binary --enable-rsync-compat
[root@www scponly-4.1]# cp /setup_chroot.sh /usr/local/bin/
[root@www scponly-4.1]# chmod 755 /usr/local/bin/setup_chroot.sh


#ユーザの作成にはsetup_chroot.shを使用します。ホームディレクトリ以下にアップロードできるフォルダを作成する必要があります。
[root@www scponly-4.1]# /usr/local/bin/setup_chroot.sh

Next we need to set the home directory for this scponly user.
please note that the user's home directory MUST NOT be writeable
by the scponly user. this is important so that the scponly user
cannot subvert the .ssh configuration parameters.

for this reason, a writeable subdirectory will be created that
the scponly user can write into.

Username to install [scponly]
home directory you wish to set for this user [/home/scponly]
name of the writeable subdirectory [incoming]

creating  /home/scponly/incoming directory for uploading files

Your platform (Linux) does not have a platform specific setup script.
This install script will attempt a best guess.
If you perform customizations, please consider sending me your changes.
Look to the templates in build_extras/arch.
 - joe at sublimation dot org

please set the password for scponly:
Changing password for user scponly.
New UNIX password:
BAD PASSWORD: it does not contain enough DIFFERENT characters
Retype new UNIX password:
passwd: all authentication tokens updated successfully.
if you experience a warning with winscp regarding groups, please install
the provided hacked out fake groups program into your chroot, like so:
cp groups /home/scponly/bin/groups


関連記事
sshdfilter
iptalbesでdhcpを通す
ssh-agent - 公開鍵認証の鍵管理
chrootssh
chrootkit - rootkitの検出
scponly
iptablesでftpを通す
macアドレスによるフィルタリング
公開鍵認証でパスワードなしにログイン
tripwireによるファイル改竄検知
zlib + libpng + gd + mrtgのインストール
SNMPの設定
rp_filter - スプーフィング対策
nmapによるOSの特定
john the ripper
system-config-securitylevel-tui - ファイアウォールの設定
iptables - SNAT
iptables - DNAT
MRTGディレクトリにアクセスできない
iptablesでpingを通す
sudo
/etc/ftpusers でftpのアクセス制限
Ctrl+Alt+deleteキーによる再起動の禁止
sshdがサポートするプロトコルのバージョン
qpopperのバージョンを隠すには
iptablesのルール一覧を表示するには
BINDのバージョン情報を隠すには
iptables 設定 - ルールの削除
tcp_syncookies - SYN Flood攻撃を防ぐには
SSHでログインできるユーザを制限
RedHat 9.0以前のパッケージのアップデート
iplogによるトラフィック監視
suコマンドの制限
rootユーザで直接SSHへログインするのを防ぐ
広告