Linux ETC

 일반적으로 SFTP 사용하게 되면 FTP와는 다르게 root 권한을 가지고 있지 않은 일반계정으로도 SFTP 사용하여 접속하게 되면 접속폴더 상위의 폴더까지 접근이 가능합니다. 개인이 혼자서 사용하는 서버라면 상관없겠지만, 호스팅 서비스를 하거나 여러 사용자들이 접속할 있는 서버라면 사용자들 간에 격리가 필요합니다. 그렇지 않다면 사용자 누구나 루트폴더에 접근할 있기 때문에 보안, 해킹에 취약한 단점이 있습니다.

 

, 상위폴더로 접근할 없게 설정하는 방법으로는 2가지가 있습니다.

첫번째로는 상위 폴더로 접근할 없게 퍼미션을 조정하는 방법이 있고, 두번째로는 SFTP에서 chroot 기능을 이용하여 사용자의 폴더를 root 폴더로 지정하는 방법이 있습니다.

 


1. 퍼미션 조정

 - chmod 이용하여 주요한 폴더들의 권한을 711 부여하여 접근을 제어

 , chmod 711 /home

     chmod 711 /etc ..

 

 

2. chroot 설정

 - chroot 임시로 루트 디렉토리를 설정하는 명령어로, 일반적인 루트 디렉토리가 아닌 다른 디렉토리(, /etc, /home ..) 임시로 루트 디렉토리인 것처럼 설정할 있습니다. , 주의할 점은 chroot 설정한 계정 또는 그룹은 ssh 사용할 없습니다.

   설정방법은 아래와 같습니다.

 

  . ssh 설정 변경

   # vi /etc/ssh/sshd_config

     -> Subsystem sftp /usr/lib/openssh/sftp-server     : 주석처리

     -> Subsystem sftp internal-sftp     : 추가

  ㄴ. 문서 마지막에 Match 구문 추가(user : test)

     -> Match User test

    ChrootDirectory /home/test

            ForceCommand internal-sftp

            X11Forwarding no

           AllowTCPForwarding no

   , ChrootDirectory 반드시 홈디렉토리가 아닌 다른 디렉토리를 지정해도 상관없습니다.

   # service sshd restart

 

  ㄷ. chroot 적용된 디렉토리의 소유자를 root 변경해야 접속이 가능합니다.

   # chown root /home/test

   또한 해당 계정의 권한도 755 변경합니다.

   # chmod 755 /home/test

 

  이렇게 설정한 test 계정으로 SFTP 접속해도 쓰기 권한을 가지고 있지 않기 때문에 디렉토리 내에서는 아무런 활동을 없기 때문에 접속이 되지 않습니다. 이런 경우 /home/test 안에 임의의 폴더를 생성하여 해당 폴더에 쓰기권한을 부여해주는 방법이 있습니다.

   # mkdir www(임시 디렉토리)

   # chown root:test /home/test/www

   # chmod 775 /home/test/www     : 쓰기 권한 부여

 

   이렇게 설정하게 되면 test 계정으로 SFTP 접속하게 되면 /home 디렉토리 상위폴더로 접근 불가능 chroot 적용 것을 확인할 있습니다.

번호 제목 글쓴이 날짜 조회 수
386 kornet SMTP 서비스 종료에 따른 구글 SMTP 활용 방안 file 호스트웨이 2016.04.28 0
385 extundelete tool을 이용하여 삭제된 파일 복구하기 호스트웨이 2016.02.29 1361
384 Login 실패시 계정 잠그기 및 PAM 설정 file 호스트웨이 2016.01.04 5806
383 fdisk 명령어를 이용하여 수동으로 파티션 나누기 file 호스트웨이 2015.11.30 8326
» SFTP 퍼미션 조정 및 chroot 설정으로 상위폴더 접근 제한하기 호스트웨이 2015.10.29 4942
381 리눅스 CD로 손상된 파일 복구하기 호스트웨이 2015.09.29 1441
380 find 명령을 통한 소유자, 백도어, 파일 찾기 호스트웨이 2015.09.29 1000
379 Linux 설치된 OS 커널의 Bit확인 호스트웨이 2015.09.26 316
378 SYN_Flooding 공격 막기 호스트웨이 2015.09.25 438
377 Linux ssh 무작위 공격 방어하기 - fail2ban 호스트웨이 2015.09.24 570
376 사용 가능한 쉘 확인 및 변경법 호스트웨이 2015.09.24 568
375 삭제된 파일 복구 - 2 호스트웨이 2015.09.24 539
374 프로그램의 사용 메모리 확인 호스트웨이 2015.09.23 274
373 사용하지 않는 데몬 끄기 호스트웨이 2015.09.23 294
372 리눅스 서버 보안 관련 설정 호스트웨이 2015.09.23 629
371 서버시간 매시간마다 동기화 설정 호스트웨이 2015.09.23 316
370 리눅스 상에서 메모리 사용 현황 확인하기 호스트웨이 2015.09.23 499
369 터미널 접속 시 한글이 깨질 때 호스트웨이 2015.09.23 239
368 서버 계정을 다른서버로 이전하기 호스트웨이 2015.09.23 914
367 동일 네트워크의 중복 IP검색 호스트웨이 2015.09.23 677