सर्वर उपयोगकर्ताओं को लिनक्स में एक विशिष्ट निर्देशिका में कैसे प्रतिबंधित करें
उस लिनक्स सर्वर को लॉक करने की आवश्यकता है ताकि कुछ दूरस्थ उपयोगकर्ता केवल एक विशिष्ट निर्देशिका तक पहुंच सकें और केवल फ़ाइल अपलोड और डाउनलोड उद्देश्यों के लिए? जैक वालेन आपको दिखाता है कि कैसे।
छवि: उत्पादन पेरिग / शटरस्टॉक
जब आपके पास एसएसएच एक्सेस वाला सर्वर होता है, जब तक कि आपने इसे अन्यथा कॉन्फ़िगर नहीं किया है, उस सिस्टम पर खाते वाला कोई भी उपयोगकर्ता लॉग इन कर सकता है और, यदि उनके पास अनुमतियां और कौशल हैं, तो आपके सर्वर पर कहर बरपा सकता है।
देखो: 40+ ओपन सोर्स और लिनक्स शब्द जिन्हें आपको जानना आवश्यक है (टेक रिपब्लिक प्रीमियम)
आप ऐसा नहीं चाहते।
आप जो कर सकते हैं वह उन उपयोगकर्ताओं को चेरोट जेल से प्रतिबंधित कर सकता है। ऐसा करने से आप गंभीर रूप से सीमित कर देते हैं कि वे उपयोगकर्ता आपके सिस्टम पर क्या कर सकते हैं। वास्तव में, कोई भी उपयोगकर्ता जो चेरोट जेल तक सीमित है:
- केवल sftp . के माध्यम से सर्वर तक पहुँचें
- केवल एक विशिष्ट निर्देशिका तक पहुँचें
यह आपके Linux सर्वर के लिए एक बढ़िया सुरक्षा अतिरिक्त है, और यदि आपको इस तरह के उपयोग के मामले की आवश्यकता है, तो इसे अवश्य करें। यह विशेष रूप से महत्वपूर्ण है यदि आपके पास एक सर्वर है जिसमें संवेदनशील डेटा है और आप नहीं चाहते कि उपयोगकर्ता उन फ़ाइलों और फ़ोल्डरों को भी देखें।
यह सेटअप इतना चुनौतीपूर्ण नहीं है। वास्तव में, कॉन्फ़िगरेशन सुविधा को परिनियोजित करने के तरीके खोजने की तुलना में बहुत आसान है। लेकिन उन अवसरों पर जब आपको अपने लिनक्स सर्वर पर एक उपयोगकर्ता की पहुंच को गंभीर रूप से प्रतिबंधित करने की आवश्यकता होती है, ऐसा करने का यह एक निश्चित तरीका है।
आपको किस चीज़ की ज़रूरत पड़ेगी
इस काम को करने के लिए, आपको Linux के चल रहे उदाहरण और sudo विशेषाधिकार वाले उपयोगकर्ता की आवश्यकता होगी। बस, इतना ही। आइए कुछ सुरक्षा जादू करें।
एक प्रतिबंधित समूह कैसे बनाएं और लिनक्स सर्वर पर उपयोगकर्ताओं को कैसे जोड़ें
पहली चीज जो हमें करनी चाहिए वह है एक नया समूह बनाना और उसमें उपयोगकर्ताओं को जोड़ना। इसके साथ समूह बनाएं:
sudo groupadd restricted
इसके बाद, एक उपयोगकर्ता को कमांड के साथ समूह में जोड़ें:
sudo usermod -g restricted USERNAME
जहां USERNAME वह उपयोगकर्ता है जिसे आप प्रतिबंधित समूह में जोड़ना चाहते हैं।
देखो: लिनक्स 30 साल का हो गया: ओपन सोर्स ऑपरेटिंग सिस्टम का जश्न (मुफ्त पीडीएफ) (टेक रिपब्लिक)
एसएसएच को कैसे कॉन्फ़िगर करें
SSH डेमॉन कॉन्फ़िगरेशन फ़ाइल को इसके साथ खोलें:
sudo nano /etc/ssh/sshd_config
रेखा की तलाश करें (नीचे के पास):
Subsystem sftp /usr/lib/openssh/sftp-server
उस लाइन को इसमें बदलें:
Subsystem sftp internal-sftp
फ़ाइल के निचले भाग में, निम्नलिखित जोड़ें:
Match group restricted ChrootDirectory /home/ ForceCommand internal-sftp AllowTcpForwarding no X11Forwarding no
फ़ाइल को सहेजें और बंद करें। एसएसएच को इसके साथ पुनरारंभ करें:
sudo systemctl restart ssh
अब, दूसरी मशीन पर वापस जाएं और उपयोगकर्ता के साथ सर्वर में SSH करने का प्रयास करें, जैसे:
ssh olivia@192.168.1.147
आपको चेतावनी दिखाई देगी:
This service allows sftp connections only. Connection to 192.168.1.147 closed.
प्रतिबंधित समूह में किसी भी उपयोगकर्ता के लिए सर्वर में लॉग इन करने के लिए, उन्हें sftp का उपयोग करना चाहिए:
sftp USERNAME@SERVER
जहां USERNAME उपयोगकर्ता नाम है और सर्वर सर्वर का IP पता या डोमेन है। एक बार जब वे सफलतापूर्वक लॉग इन कर लेते हैं, तो वे sftp प्रॉम्प्ट पर होंगे जहाँ वे पुट के साथ फ़ाइलों को आगे और पीछे स्थानांतरित कर सकते हैं और कमांड प्राप्त कर सकते हैं। वे प्रतिबंधित उपयोगकर्ता केवल अपनी होम निर्देशिका में फ़ाइलें अपलोड कर सकते हैं। जब कोई प्रतिबंधित उपयोगकर्ता प्रारंभ में लॉग इन करता है, तो वे /home निर्देशिका में होंगे। इसलिए, सफलतापूर्वक अपलोड करने के लिए, उन्हें अपने होम डायरेक्टरी में एक कमांड के साथ बदलना होगा जैसे:
cd olivia
एक बार अपने होम डायरेक्टरी में, वे तब एक कमांड जारी कर सकते हैं जैसे:
put file1
जब तक वह फ़ाइल उस मशीन की वर्तमान कार्यशील निर्देशिका में है जिससे उन्होंने सर्वर में लॉग इन किया है, यह ठीक अपलोड होगा। यदि उन उपयोगकर्ताओं को केवल अपनी स्थानीय मशीन पर फ़ाइलें डाउनलोड करने की आवश्यकता है, तो वे एक कमांड का उपयोग करेंगे जैसे:
get file1
मुझे एहसास है कि यह बहुत सीमित उपयोग के मामलों के साथ एक बहुत ही सीमित कॉन्फ़िगरेशन है, लेकिन आपके लिनक्स व्यवस्थापक करियर में किसी बिंदु पर, आप एक ऐसे उदाहरण में भाग लेने जा रहे हैं जहां आपको उपयोगकर्ताओं को क्रोट जेल में प्रवेश करने के लिए सीमित करने की आवश्यकता है। ऐसा करने का यह एक तरीका है।
TechRepublic की सदस्यता लें YouTube पर टेक कार्य कैसे करें जैक वालेन से व्यावसायिक पेशेवरों के लिए सभी नवीनतम तकनीकी सलाह के लिए।
