CENTOS5.9でSFTPのみ許可する



CENTOS5.x環境で、SFTPのみを許可したいのだが、

CENTOS5.xのOpenSSHは、バージョンが古くchroot機能が含まれていない。

まずは、OpenSSHのバージョンアップから行う。




1)インストール済みのOpenSSHをアンインストール


    yum remove openssh*


2)最新OpenSSHを取得


    wget http://anga.funkfeuer.at/ftp/pub/OpenBSD/OpenSSH/portable/openssh-6.2p1.tar.gz


3)CentOS用のrpmを作成するために、SPECファイルを修正
 解凍 tar zxvf openssh-6.2p1.tar.gz
 修正 vi openssh-6.2p1/contrib/redhat/openssh.spec
 修正箇所 x_11_askpassの無効化
  %define no_x11_askpass 0
  ↓
  %define no_x11_askpass 1

 修正箇所 gnome_askpassの無効化

  %define no_gnome_askpass 0
  ↓
  %define no_gnome_askpass 1

 修正箇所 zlibのバージョンチェック無効化

  %configure \
  --sysconfdir=%{_sysconfdir}/ssh \
  ・・・
  ↓
  %configure \
  configure --without-zlib-version-check \ ← 追加
  --sysconfdir=%{_sysconfdir}/ssh \
  ・・・

 contrib以下のredhat以外のディレクトリを削除

  rm -rf ./contrib/aix/
  rm -rf ./contrib/hpux/
  rm -rf ./contrib/caldera/
  rm -rf ./contrib/suse/
  rm -rf ./contrib/cygwin/
  rm -rf ./contrib/solaris/

4)圧縮

 tar czvf ./openssh-6.2p1.tar.gz ./openssh-6.2p1/


5)RPMの作成

 rpmbuild -tb --clean ./openssh-6.2p1.tar.gz

6)rpmをインストール
 作成したopenssh、openssh-server、openssh-clientsをインストールします。
 rpm -Uvh /usr/src/redhat/RPMS/x86_64/openssh-6.2p1-1.x86_64.rpm
 rpm -Uvh /usr/src/redhat/RPMS/x86_64/openssh-server-6.2p1-1.x86_64.rpm
 rpm -Uvh /usr/src/redhat/RPMS/x86_64/openssh-clients-6.2p1-1.x86_64.rpm

7)/etc/ssh/sshd_configを修正

 #SSH2でのみ接続を許可
 Protocol 2
 #ログを/var/log/secureに記録
 SyslogFacility AUTHPRIV
 #rootでのログインを禁止
 PermitRootLogin no
 #RSA公開鍵認証の有効化
 RSAAuthentication yes
 #公開鍵と秘密鍵、パスフレーズによる認証の有効化
 PubkeyAuthentication yes
 #パスワード認証を無効化
 PasswordAuthentication no
 AuthorizedKeysFile .ssh/authorized_keys
 #パスワードなしでのログインを禁止
 PermitEmptyPasswords no
 #
  UsePAM no
 UsePrivilegeSeparation sandbox
 #Subsystem sftp /usr/libexec/openssh/sftp-server
 Subsystem sftp internal-sftp
 #sftponlyグループにマッチしたらchroot制約ケース
 Match Group sftponly
  ChrootDirectory /home/%u
  #sftpユーザのみパスワード認証としたい場合
  PasswordAuthentication yes

  ForceCommand internal-sftp
  AllowTCPForwarding no
  X11Forwarding no


 #wheelグループ以外はchroot制約ケース
 Match Group *,!wheel
  ChrootDirectory /home/%u
  #sftpユーザのみパスワード認証としたい場合
  PasswordAuthentication yes


  ForceCommand internal-sftp
  AllowTCPForwarding no
  X11Forwarding no



8)グループの作成 、homeの権限変更
  useradd hogera
  groupadd sftponly
  gpasswd -a hogera sftponly
  chown root:root /home/hogera


9)公開鍵の設定

 cd /home/hogera
  mkdir .ssh
  cat hogera_dsa.pub >> .ssh/authorized_keys

  chmod 700 .ssh
  chmod 600 .ssh/authorized_keys
  chown -R hogera:hogera .ssh


10)selinuxが有効の場合
 restorecon -Rv /etc
 restorecon -RFv /home/hogera


 
 


  



 

コメント

コメントを投稿

ドメインサーチ

https://www.makko.biz/whois/?q=bg.bahaiquotesillustrated.info

このブログの人気の投稿

Apacheプロセス増加について

Apacheプロセス増加について Apacheのプロセス増加について調べる機会があったので、記載しておきます。 Apacheサービスを起動した際に、いくつプロセスを起動させておくかは、 httpd.confの StartServersで決まる。 例えば、StartServers=5となっていれば、メインプロセス1と待機プロセス5が立ち上がり、 計6つのhttpdプロセスが動いている。ps ax|grep ‘httpd’とコマンドを打てば、確認できる。 次に、設置したHPにアクセスした動きとして、 例えば、index.htmlのなかに、画像タグが10個記載されていたとする。 そのindex.htmlをブラウザでアクセスすると、 Apacheとブラウザの動きとして、 index.html 画像1 画像2 画像3 画像4 ・・・ 画像10 と、リクエスト数としては、11個のリクエストが発生する。 11個のリクエストを6つのプロセスで処理することになる。 例えば容量の大きい画像であれば、1つのプロセスを占有してしまうため、別プロセスを起動し、並列に処理しようと する。そのため、6つのプロセス+5つのプロセスが起動され11プロセスとなる。(こんなに単純じゃないけど) 逆に、容量が小さい画像で、処理時間も短いものであれば、1つのプロセスで3,4個のリクエストを処理できた とすれば、httpdプロセスは増加せずに6プロセスのままとなる。 あと、気を付けたい設定はKeepAlive。 KeepAliveは、リクエストを受けてすぐに切らず数秒待機してレスポンスよくしたい場合に使いますが、 — KeepAlive HTTP の持続的な接続を有効にします。(On/Offで設定します) KeepAliveTimeout KeepAlive=On の時に有効で、持続的な接続で次のリクエストが来るまでサーバが待つ時間(秒)を設定します。 MaxKeepAliveRequests KeepAlive=On の時に有効で、持続的な接続上で許可されるリクエストの数を設定します。 — 待っている間は他のリクエストを処理できないので、結果として別のプロセスが起動してしまいます。 つまり、プロセス増加の要因になりえます。 一概に言えませ
続きを読む

wgetでsitemap作成

wgetでsitemap作成します。 wget --spider --recursive --no-verbose --output-file=wgetout.log http://おれのサイト/ grep -i URL wgetout.log | awk -F 'URL:' '{print $2}' | awk '{$1=$1};1' | awk '{print $1}' | sort -u | sed '/^$/d' > links.txt ほら、かんたんでしゅ
続きを読む

ApacheでSSL自己証明書作成(オレオレ証明書)

イメージ
1.opensslコマンドでSSL自己証明書を作成する $ mkdir -p /etc/httpd/conf/ssl.key/ $ mkdir -p /etc/httpd/conf/ssl.crt/ $ cd /etc/httpd/conf/ssl.key/ $ openssl genrsa -aes128 -out server.key 2048 Generating RSA private key, 2048 bit long modulus ...........................................................+++ ..................................................................................................................+++ e is 65537 (0x10001) Enter pass phrase for server.key:パスフレーズ入力 Verifying - Enter pass phrase for server.key:パスフレーズ入力 $ openssl req -new -key server.key -sha256 -out server.csr Enter pass phrase for server.key:パスフレーズ入力 You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter cod
続きを読む