牛X 好用的sshd_config:ChrootDirectory:特别注意【该目录必须是只能且仅能root用户有w权限!】
【ChrootDirectory】目的和用途:实现chroot
特别注意:该目录,必须!!必须!!只有且仅有root用户有w权限,其他用户不能有w权限!
否则,会出现 “Write failed: Broken pipe” 错误。
【ChrootDirectory】用法1:全局禁用,Match条件启用
#ChrootDirectory none # override default of no subsystems #Subsystem sftp /usr/libexec/openssh/sftp-server Subsystem sftp internal-sftp # Example of overriding settings on a per-user basis #Match User root,user2 # X11Forwarding no # AllowTcpForwarding no # ChrootDirectory none Match User user3 X11Forwarding no AllowTcpForwarding no ChrootDirectory /root/jin Match Group chroot X11Forwarding no AllowTcpForwarding no ChrootDirectory /root/jin
【ChrootDirectory】用法2:全局起用,Match条件禁用(比如,root例外)
ChrootDirectory /root/jin # override default of no subsystems #Subsystem sftp /usr/libexec/openssh/sftp-server Subsystem sftp internal-sftp # Example of overriding settings on a per-user basis Match User root,user2 X11Forwarding no AllowTcpForwarding no ChrootDirectory none
【ChrootDirectory】难点:必须自己手工准备这个“chroot directory”
- 可以自己从宿主系统通过ldd和strace从头分析、提取相关文件搭建;
- 也可以直接找一个rootfs系统搭建,典型的如alpine-minirootfs-3.13.5-x86_64.tar
- 再难点的,你可以通过baseos或docker image中提取相关文件系统来搭建
- 更加骚的操作是,直接解压各种livecd的squashfs来搭建
【ChrootDirecory】注意事项:
- sftp子系统,强烈推荐使用internal-sftp 来代替传统兼容模式的openssh-sftp
- ssh登录一般不会有问题,但scp就不一定了。
分类:
Linux
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 无需6万激活码!GitHub神秘组织3小时极速复刻Manus,手把手教你使用OpenManus搭建本
· C#/.NET/.NET Core优秀项目和框架2025年2月简报
· Manus爆火,是硬核还是营销?
· 终于写完轮子一部分:tcp代理 了,记录一下
· 【杭电多校比赛记录】2025“钉耙编程”中国大学生算法设计春季联赛(1)
2014-06-03 新机器,分区为NTFS, 安装 Windows XP、Windows Server 2003 时蓝屏问题,修改为 FAT32 即可
2009-06-03 Mysql:语法:用户变量
2009-06-03 Mysql:语法:标志符、关键字
2009-06-03 Mysql:语法:数据类型、文字常量