← Anasayfa

Sadece Belirli Klasörlere Tutsak Edilen (Jail) SFTP Kullanıcısı Yaratmak

Güvenlik, YetkilendirmeUbuntu Server

Diyelim ki sitenizin kodlarını editlemesi için birini kiraladınız. Ona sisteminizin kullanıcı adı ve şifresini verdiniz. Ama normal bir SSH yetkisi o kişinin 'cd ..' diyerek tüm linux dosyalarını kurcalamasını, /etc altındaki dosya yapılarını incelemesini olanaklı kılar.

Halbuki biz istiyoruz ki, sadece /var/www/site alanına hapsolsun (Jail) ve SSH ekranı olmasın, sadece WinScp gibi araçlarla dosya atabilsin.

Klasör İzin Altyapısı (Chroot)

İlk iş jail klasörümüzün sahibini root yapmamız gerekir çünkü SSH mekanizması zindanın sahibinin root olmasını katı kuralla ister.

chown root:root /var/www/site

Web tarafı için okuma izni falan vermeyi unutmayın.

SSH Konfigürasyonu

/etc/ssh/sshd_config dosyanızın en altına o sihirli bloğu ekleriz:

Match User yazilimci_kardes
    ForceCommand internal-sftp
    PasswordAuthentication yes
    ChrootDirectory /var/www/site
    PermitTunnel no
    AllowAgentForwarding no
    AllowTcpForwarding no
    X11Forwarding no

SSH servisini systemctl restart sshd diyerek yeniden başlattığımızda o gariban 'yazilimci_kardes' girmeye çalıştığında bir terminal göremeyecek. Sadece SFTP aracıyla girebilecek ve gördüğü en tepe nokta sizin onun için tasarladığınız siber zindanımız olacak.