Linux ETC

 일반적으로 SFTP 사용하게 되면 FTP와는 다르게 root 권한을 가지고 있지 않은 일반계정으로도 SFTP 사용하여 접속하게 되면 접속폴더 상위의 폴더까지 접근이 가능합니다. 개인이 혼자서 사용하는 서버라면 상관없겠지만, 호스팅 서비스를 하거나 여러 사용자들이 접속할 있는 서버라면 사용자들 간에 격리가 필요합니다. 그렇지 않다면 사용자 누구나 루트폴더에 접근할 있기 때문에 보안, 해킹에 취약한 단점이 있습니다.

 

, 상위폴더로 접근할 없게 설정하는 방법으로는 2가지가 있습니다.

첫번째로는 상위 폴더로 접근할 없게 퍼미션을 조정하는 방법이 있고, 두번째로는 SFTP에서 chroot 기능을 이용하여 사용자의 폴더를 root 폴더로 지정하는 방법이 있습니다.

 


1. 퍼미션 조정

 - chmod 이용하여 주요한 폴더들의 권한을 711 부여하여 접근을 제어

 , chmod 711 /home

     chmod 711 /etc ..

 

 

2. chroot 설정

 - chroot 임시로 루트 디렉토리를 설정하는 명령어로, 일반적인 루트 디렉토리가 아닌 다른 디렉토리(, /etc, /home ..) 임시로 루트 디렉토리인 것처럼 설정할 있습니다. , 주의할 점은 chroot 설정한 계정 또는 그룹은 ssh 사용할 없습니다.

   설정방법은 아래와 같습니다.

 

  . ssh 설정 변경

   # vi /etc/ssh/sshd_config

     -> Subsystem sftp /usr/lib/openssh/sftp-server     : 주석처리

     -> Subsystem sftp internal-sftp     : 추가

  ㄴ. 문서 마지막에 Match 구문 추가(user : test)

     -> Match User test

    ChrootDirectory /home/test

            ForceCommand internal-sftp

            X11Forwarding no

           AllowTCPForwarding no

   , ChrootDirectory 반드시 홈디렉토리가 아닌 다른 디렉토리를 지정해도 상관없습니다.

   # service sshd restart

 

  ㄷ. chroot 적용된 디렉토리의 소유자를 root 변경해야 접속이 가능합니다.

   # chown root /home/test

   또한 해당 계정의 권한도 755 변경합니다.

   # chmod 755 /home/test

 

  이렇게 설정한 test 계정으로 SFTP 접속해도 쓰기 권한을 가지고 있지 않기 때문에 디렉토리 내에서는 아무런 활동을 없기 때문에 접속이 되지 않습니다. 이런 경우 /home/test 안에 임의의 폴더를 생성하여 해당 폴더에 쓰기권한을 부여해주는 방법이 있습니다.

   # mkdir www(임시 디렉토리)

   # chown root:test /home/test/www

   # chmod 775 /home/test/www     : 쓰기 권한 부여

 

   이렇게 설정하게 되면 test 계정으로 SFTP 접속하게 되면 /home 디렉토리 상위폴더로 접근 불가능 chroot 적용 것을 확인할 있습니다.

번호 제목 글쓴이 날짜 조회 수
6 grub 사용방법 sylee 2008.05.15 28374
5 nmap 사용법 sylee 2008.05.15 29303
4 find 명령 1 sylee 2008.05.14 25983
3 ssh 포트 변경 방법 sylee 2008.05.14 31253
2 head 와 tail 사용하기 sylee 2008.05.14 63470
1 가용할 수 있는 물리적 메모리를 최대한 이용해봅시다. hostway 2008.05.14 26669