Category: Chinese Post (中文帖子)

Posted on

[内容] SFTP 的配置案例

案例一:SFTP 使用 2200 端口,将 SFTP 用户的家目录作为 SFTP 用户的 SFTP 目录,让 SFTP 用户通过 SFTP 登录时被限制在自己的家目录里

# vim /etc/ssh/sshd_config

将以下内容:

......
Subsystem       sftp ......
......

修改为:

......
# Subsystem       sftp ......
......

并添加以下内容:

......
Subsystem       sftp    internal-sftp
Match LocalPort 2200
  ForceCommand internal-sftp
  PasswordAuthentication yes
  ChrootDirectory %h
  PermitTunnel no
  AllowAgentForwarding no
  AllowTcpForwarding no
  X11Forwarding no

(补充:这里以将 /etc/ssh/sshd_config 作为 SFTP 的配置文件为例)

(注意:SFTP 目录以及所有 SFTP 目录的父目录的所属主必须是 root,权限最高只能是 755 或者 750,否则就算此目录的所属主是此 SFTP 用户,此用户在登录时也会报错)

案例二:将根 “/” 目录下以和 SFTP 用户名同名的目录作为此 SFTP 用户的 SFTP 目录,让此 SFTP 用户通过 SFTP 登录时被限制在根 “/” 目录下以和自己用户名同名的目录里,但是此设置只适用于组是 sftpuser 的用户,并且 SFTP 上传的文件默认权限是 770

# vim /etc/ssh/sshd_config

将以下内容:

......
Subsystem       sftp ......
......

修改为:

......
# Subsystem       sftp ......
......

并添加以下内容:

......
Subsystem       sftp    internal-sftp
Match Group sftpuser
  ForceCommand internal-sftp -m 770
  PasswordAuthentication yes
  ChrootDirectory /%u
  PermitTunnel no
  AllowAgentForwarding no
  AllowTcpForwarding no
  X11Forwarding no


补充:
1) 这里以将 /etc/ssh/sshd_config 作为 SFTP 的配置文件为例
2) -m 770 参数也可以使用 -u 770 替代,但是 -u 参数有时候会不起作用

(注意:SFTP 目录以及所有 SFTP 目录的父目录的所属主必须是 root,权限最高只能是 755 或者 750,否则就算此目录的所属主是此 SFTP 用户,此用户在登录时也会报错)

案例三:SFTP 使用 2222 端口,将根 “/” 目录下以和 SFTP 用户名同名的目录作为此 SFTP 用户的 SFTP 目录,让此 SFTP 用户通过 SFTP 登录时被限制在根 “/” 目录下以和自己用户名同名的目录里,但是此设置只适用于组是 sftpuser 的用户,SFTP 用户存放的公钥的文件为 /etc/ssh/authorized_keys/<user>/.ssh/authorized_keys,SFTP 上传的文件默认权限是 770

# vim /etc/ssh/sshd_config

将以下内容:

......
Subsystem       sftp ......
......

修改为:

......
# Subsystem       sftp ......
......

并添加以下内容:

......
Subsystem       sftp    internal-sftp -l VERBOSE -f LOCAL3
Match LocalPort 2222
Match Group sftp
ChrootDirectory /%u
AuthorizedKeysFile /etc/ssh/authorized_keys/%u/.ssh/authorized_keys
ForceCommand    internal-sftp -m 770
AllowTcpForwarding no
X11Forwarding no


补充:
1) 这里以将 /etc/ssh/sshd_config 作为 SFTP 的配置文件为例
2) -m 770 参数也可以使用 -u 770 替代,但是 -u 参数有时候会不起作用

(注意:SFTP 目录以及所有 SFTP 目录的父目录的所属主必须是 root,权限最高只能是 755 或者 750,否则就算此目录的所属主是此 SFTP 用户,此用户在登录时也会报错)

案例四:将根 “/” 目录下以和 SFTP 用户名同名的目录作为此 SFTP 用户的 SFTP 目录,让此 SFTP 用户通过 SFTP 登录时被限制在根 “/” 目录下以和自己用户名同名的目录里,但是此设置只适用于用户 sftpuser

# vim /etc/ssh/sshd_config

将以下内容:

......
Subsystem       sftp ......
......

修改为:

......
# Subsystem       sftp ......
......

并添加以下内容:

......
Subsystem       sftp    internal-sftp
Match User sftpuser
  ForceCommand internal-sftp
  PasswordAuthentication yes
  ChrootDirectory /%u
  PermitTunnel no
  AllowAgentForwarding no
  AllowTcpForwarding no
  X11Forwarding no

(补充:这里以将 /etc/ssh/sshd_config 作为 SFTP 的配置文件为例)

(注意:SFTP 目录以及所有 SFTP 目录的父目录的所属主必须是 root,权限最高只能是 755 或者 750,否则就算此目录的所属主是此 SFTP 用户,此用户在登录时也会报错)

案例五:给不同的 SFTP 分配不同的 SFTP 目录,让 SFTP 用户通过 SFTP 登录时被限制在自己的家目录里

# vim /etc/ssh/sshd_config

将以下内容:

......
Subsystem       sftp ......
......

修改为:

......
# Subsystem       sftp ......
......

并添加以下内容:

......
Subsystem       sftp    internal-sftp
Match User eternalcenter
  ChrootDirectory /eternalcenter
Match User mingyuzhu
  ChrootDirectory /mingyuzhu
Match User zhumingyu
  ChrootDirectory /zhumingyu


补充:这里以将
1) /etc/ssh/sshd_config 作为 SFTP 的配置文件为例
2) 将 /eternalcenter 作为 eternalcenter 的 SFTP 目录
3) 将 /mingyuzhu 作为 mingyuzhu 的 SFTP 目录
4) 将 /mingyuzhu 作为 mingyuzhu 的 SFTP 目录
为例

(注意:SFTP 目录以及所有 SFTP 目录的父目录的所属主必须是 root,权限最高只能是 755 或者 750,否则就算此目录的所属主是此 SFTP 用户,此用户在登录时也会报错)

案例六:SFTP 使用 1100 端口,将 SFTP 用户的家目录作为 SFTP 用户的 SFTP 目录,让 SFTP 用户通过 SFTP 登录时被限制在自己的家目录里,使用指定的 Ciphers、MACs 和 KexAlgorithms 参数

# vim /etc/ssh/sshd_config

将以下内容:

......
Subsystem       sftp ......
......

修改为:

......
# Subsystem       sftp ......
......

并添加以下内容:

......

Subsystem       sftp    internal-sftp

Ciphers aes128-ctr,aes256-ctr
MACs hmac-sha2-256
KexAlgorithms diffie-hellman-group-exchange-sha256

Match LocalPort 1000
        ChrootDirectory %h
        AllowTcpForwarding no
        X11Forwarding no

# This enables accepting locale enviroment variables LC_* LANG, see sshd_config(5).
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL


补充:这里以使用:
1) aes128-ctr 和 aes256-ctr SSH 加密方式 (cipher)
2) hmac-sha2-256 SSH 信息验证代码 (message authentication code)
3) diffie-hellman-group-exchange-sha256 SSH 算法 (algorithm)
为例


注意:
1) SFTP 目录以及所有 SFTP 目录的父目录的所属主必须是 root,权限最高只能是 755 或者 750,否则就算此目录的所属主是此 SFTP 用户,此用户在登录时也会报错
2) RHEL 8 使用 crypto policies 来管理 Ciphers、MACs 和 KexAlgorithms 参数,如果要使这里的这些参数生效,则需要

Posted on

[内容] Linux 常用软件

bash-completion

作用:用于使用 tab 键补全命令

安装方法:

如果是 Rocky Linux & RHEL:

# yum install bash-completion

或者:

# dnf install bash-completion

如果是 openSUSE & SLES:

# zypper install bash-completion

lsb-release

作用:可以在 openSUSE & SLES 上显示系统版本信息

安装方法:

# zypper install lsb-release

redhat-lsb-core

作用:可以在 CentOS Linux & RHEL 上显示系统版本信息

安装方法:

如果是 Rocky Linux & RHEL:

# yum install redhat-lsb-core

如果是 openSUSE & SLES:

# dnf install redhat-lsb-core

sysstat

作用:包含多种对 Linux 系统综合性能分析的命令,包括 iostat、mpstat、sar、pidstat 等命令

安装方法:

如果是 Rocky Linux & RHEL:

# yum install sysstat

或者:

# yum install sysstat

如果是 openSUSE & SLES:

# zypper install sysstat

vim-enhanced

作用:可以使用 vim 命令编辑文档

安装方法:

如果是 Rocky Linux & RHEL:

# yum install vim-enhanced

或者:

# dnf install vim-enhanced

如果是 openSUSE & SLES:

# zypper install vim-enhanced

xorg-x11-xauth.x86_64 和 xorg-x11-fonts-*

作用:让需要图形化环境的软件可以启动

安装方法:

如果是 Rocky Linux & RHEL:

# yum install xorg-x11-xauth.x86_64; yum install xorg-x11-fonts-*

或者:

# dnf install xorg-x11-xauth.x86_64; dnf install xorg-x11-fonts-*

如果是 openSUSE & SLES:

# zypper install xorg-x11-xauth.x86_64; dnf install xorg-x11-fonts-*
Posted on

Linux 启动顺序

第一步启动:BIOS/UEFI

BIOS (Basic Input Output System) 即基本输入输出系统。

UEFI (Unified Extensible Firmware Interface) 即可扩展固件接口。

它们的主要作用是为计算机提供直接、底层的硬件控制和设置。UEFT 是 BIOS 的升级替代方案。

第二步启动:MBR/GPT

MBR (Master Boot Record) 即主引导记录。MBR 通常和 BIOS 搭配,最大分区容量不能超过 2T,最多可以有 3 个主分区,1 个扩展分区,不过扩展分区里可以有多个逻辑分区。

GPT (GUID Partition Table) 即全局唯一标识分区表。GPT 通常和 UEFI 搭配。

它们都是读取硬盘时最先读取的分区,里面有各自的启动代码。

第三步启动:GRUB2

GRUB2 (GRand Unified Bootloader version 2) 即多操作系统启动程序,可以选择系统分区上不同的系统内核,同时也可以向启动的内核传递参数。

第四步启动:initrd/Kernel

initrd (init ramdisk) 即初始化内存盘,作用是:
1) 提供开机必备的单 kernel 文件 (vmlinuz) 没有提供的驱动模块。
2) 通过引导加载程序加载内存,将内存视为临时根 “/” 目录,从中运行程序,之后再将根 “/” 目录转移到硬盘上真正的根 “/” 目录上。


注意:系统启动 initrd 的时间默认上限是 90 秒钟,如果 initrd 加载的时间超过 90 秒钟,则系统会报以下错误:

Warning: dracut-initqueue timeout - starting timeout scripts

(补充链接:Linux 解决启动时,某个盘挂不上或者报错 “Warning: dracut-initqueue timeout – starting timeout scripts”

第五步启动:systemdprocess

systemdprocess,即启动各类程序和进程。

Posted on

[步骤] auditd 的设置 (日志保存时间)

方法一:通过 auditd 配置文件设置

1.1 设置 auditd 日志的保存时间

# vim /etc/audit/auditd.conf

确保部分内容如下:

......
local_events = yes
......
write_logs = yes
......
log_file = /var/log/audit/audit.log
......
max_log_file = 8
......
num_logs =5
......
max_log_file_action = ROTATE
......


补充:这里以
1) 开启 auditd 日志 (local_events = yes) (write_logs = yes)
2) 将 auditd 日志写入 /var/log/audit/audit.log 文件 (log_file = /var/log/audit/audit.log)
3) auditd 日志每达到 8M 大小就将旧的 auditd 日志进行备份并创建新的 auditd 日志 (max_log_file = 8) (max_log_file_action = ROTATE),也可以修改成: max_log_file_action = keep_logs
4) 旧的 auditd 日志保存 5 份 (num_logs =5)
为例

1.2 让设置的 auditd 时间生效

# service auditd restart

方法二:通过 logrotate 配置文件设置

2.1 设置 auditd 日志的保存时间

# vim /etc/logrotate.d/auditd

创建以下内容:

/var/log/audit/*
{
rotate 30
daily
missingok
compress
delaycompress
postrotate
touch /var/log/audit/audit.log ||:
chmod 0600 /var/log/audit/audit.log ||:
service auditd restart
endscript
}


补充:这里以:
1) 备份的日志文件保留 30 份 (rotate 30)
2) 每天将现在的日志文件进行备份并生成新的日志文件 (dayly)

2.2 让设置的 auditd 时间生效

# systemctl restart logrotate.service