首頁 | 安全文章 | 安全工具 | Exploits | 本站原創 | 關于我們 | 網站地圖 | 安全論壇
  當前位置:主頁>安全文章>本站原創>linux原創>文章內容
openssh記錄sftp詳細日志,并chroot用戶目錄
來源:www.hlzgit.live 作者:vitter 發布時間:2009-08-18  

本站原創轉載注明出處
by:vitter(vitter_at_safechina.net)
My blog: http://blog.securitycn.net
www.securitycn.net,www.hlzgit.live,www.safechina.net

1 安裝準備
下載openssh和sftp logging patch for openssh
http://www.openssh.org/
http://sftplogging.sourceforge.net/
以openssh-4.4p1為例

1.1 解壓openssh
tar zxvf openssh-4.4p1.tar.gz

1.2 log補丁
patch -p0 < openssh-4.4p1.sftplogging-v1.5.patch

1.3 編譯
cd openssh-4.4p1
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam
注:--with-pam是支持pam,--prefix=/usr --sysconfdir=/etc/ssh是與原來的sshd保持一致
make

1.4 如果1.3通過,停止sshd服務
service sshd stop

1.5 卸載 openssh-server和openssh
rpm -qa|grep openssh
openssh-clients-3.6.1p2-34
openssh-server-3.6.1p2-34
openssh-3.6.1p2-34

rpm -e --nodeps openssh-server-3.6.1p2-34
rpm -e --nodeps openssh-3.6.1p2-34
只卸載openssh-server和openssh,因為我們只關心這兩個服務

1.6 安裝剛剛編譯的openssh
make install

1.7 重建 /etc/rc.d/init.d/sshd
cp contrib/redhat/sshd.init /etc/rc.d/init.d/sshd

1.8 重建 pam.d/sshd
cat /etc/pam.d/sshd
#%PAM-1.0
auth required pam_stack.so service=system-auth
auth required pam_nologin.so
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth

1.9 openssh支持sftp上傳下載日志記錄
vi /etc/ssh/sshd_config

LogSftp yes
SftpLogFacility AUTH

vi /etc/syslog.conf
auth,authpriv.* /var/log/sftp.log

service syslog restart

1.10 重啟 sshd
service sshd start

2 配置sshd以支持chroot

2.1 構建chroot環境

2.1.1 使用環境變量,方便
export CHROOT_PATH=/home/vitter

2.1.2 創建基本目錄
mkdir -p $CHROOT_PATH/{bin,home,usr,lib}
chown -R root.root $CHROOT_PATH
cd $CHROOT_PATH

2.1.3 創建 /bin/bash環境
cp /bin/bash $CHROOT_PATH/bin/bash
for a in $(ldd /bin/bash | awk '{print $3}')
do
[ -e $CHROOT_PATH`dirname $a` ] || mkdir -p $CHROOT_PATH`dirname $a`
cp -f $a $CHROOT_PATH$a;
done

2.1.4 創建 sftp-server 環境
export SFTP_SERVER=`grep Subsystem /etc/ssh/sshd_config | awk '{print $3}'`
echo $SFTP_SERVER
mkdir -p $CHROOT_PATH/`dirname $SFTP_SERVER`
cp $SFTP_SERVER $CHROOT_PATH$SFTP_SERVER
for a in $(ldd $SFTP_SERVER | awk '{print $3}')
do
[ -e $CHROOT_PATH`dirname $a` ] || mkdir -p $CHROOT_PATH`dirname $a`
cp -f --reply=yes $a $CHROOT_PATH$a;
done

chroot環境已經搭建完畢,只有一個bash可供使用
sftp-server,是為了相應用戶的sftp登陸的

2.2 配置chroot-openssh

2.2.1 添加或指定享受此待遇的用戶,這里以sftptest為例
useradd -d /home/sftptest sftptest
mv /home/sftptest $CHROOT_PATH/home/sftptest
ln -s $CHROOT_PATH/home/sftptest /home/sftptest
passwd sftptest

這里使用了軟連接,為了保持chroot環境和實際環境的一致。

2.2.2 修改sshd配置
[vi /etc/ssh/sshd_config]
UsePAM yes

2.2.3 修改sshd.pam配置
[vi /etc/pam.d/sshd]
session required pam_chroot.so

2.2.4 修改chroot配置
echo sftptest $CHROOT_PATH >> /etc/security/chroot.conf

2.2.5 重新啟動
service sshd restart

3 可選操作,增加安全性
chattr -R +i $CHROOT_PATH
chattr -R -i $CHROOT_PATH/home


本博原創,如轉載請注明出處:http://blog.vfocus.net,謝謝。

本文的引用網址:
/blog/mt-tb.cgi/176
 
[推薦] [評論(0條)] [返回頂部] [打印本頁] [關閉窗口]  
匿名評論
評論內容:(不能超過250字,需審核后才會公布,請自覺遵守互聯網相關政策法規。
 §最新評論:
  熱點文章
·OPENVPN安裝手冊
·ssh-3.2記錄sftp日志,并且chroo
·用linux構建仗劍江湖mud游戲服務
·Linux高可用(HA)集群筆記heartbe
·關于日志記錄系統設計思想
·unix入侵及防御心得(一)(2)
·unix入侵及防御心得(一)(1)
·linux下的Informix安裝配置
·Informix的數據庫優化
·Linux下apache運行mysql,cgi,p
·Linux下安裝Oracle817完美解決版
·改的一個非GBK的JSP的webshell
  相關文章
·用mod_gzip對Apache1.3做Web壓縮
·在 RHEL3 上安裝 Oracle 10g
·lvs+heard負載均衡文檔(DR)
·Linux高可用(HA)集群筆記heartbe
·Informix的數據庫優化
·linux下的Informix安裝配置
·OPENVPN安裝手冊
·Linux下apache運行mysql,cgi,p
·Linux下安裝Oracle817完美解決版
·ssh-3.2記錄sftp日志,并且chroo
·改的一個非GBK的JSP的webshell
·unix入侵及防御心得(一)(2)
  推薦廣告
CopyRight © 2002-2019 VFocuS.Net All Rights Reserved
期本期特码