在CentOS中创build和限制新用户到/ var / www /的最简单和标准的方法是什么?
编辑:理想情况下只限于SCP。
最近有足够多的CentOS使用chroot和internal-sftpfunction提供了足够新的OpenSSH。
首先,您需要configurationOpenSSH以使用内部SFTP。 这是通过将此行添加到sshd.conf :
Subsystem sftp internal-sftp
然后,您可以添加限制用户/组到其主目录的规则:
Match user restrictedjoe ChrootDirectory /var/www X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp
或为团体
Match group restrictedgroup ChrootDirectory /var/www X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp
我不知道“stadard way”,但是一个方法是为他/她的监狱是/ var / www的用户创build一个所谓的“监狱”。 这可以通过创build一个chroot监狱来完成。 请参阅chroot命令。 监狱还可以控制用户可以在监狱里做什么,即哪些命令/程序可以运行。
根据你对我评论的回复,我不会给用户一个完整的shell。 这使得任务更容易。 有几个shell的替代品可以用来让用户pipe理文件,而不是别的:
我已经亲自使用了scponlyc几次。 它甚至包括为你设置chroot jails的脚本( github wiki )
我最喜欢的是为什么安装mysecureshell
http://mysecureshell.sourceforge.net/
这是最configuration友好的select。 你可以用它做很多很棒的事情