跳到主要內容

使用者只能 SFTP 登入自己的家目錄

使用者只能 SFTP 登入自己的家目錄

老師的電腦動畫課堂的期末作品,是開放讓學生透過 FTP 上傳自己的作品及網頁至實驗室的伺服器,由於 FTP 是明碼的封包傳輸於最近升級系統後,便考慮改用 SFTP(SSH File Transfer Protocol)來提供上傳的服務。

提供 SFTP 上傳的同時,希望使用者和以前一樣只能使用 SFTP 無法使用 SSH 登入伺服器。SFTP 為 SSH 的檔案傳輸服務,預設建立帳號的時候使用者同時可以使用這兩種服務。透過 SFTP only + Chroot 設定我們能限制使用者僅能 SFTP 並且無法離開自己的家目錄去到處閒晃。

  1. 安裝 OpenSSH
    如果安裝的是 Ubuntu Server 應該在安裝過程會安裝 openssh-server 套件,沒有的話可以利用下面的指令安裝。

    $ sudo apt-get install openssh-server

  2. 新增一個給 SFTP 使用的群組 sftpaccess

    $ sudo groupadd sftpaccess

  3. 修改 OpenSSH 設定檔
    編輯 /etc/ssh/sshd_config 設定檔,在約 77 行的地方找到 Subsystem sftp /usr/lib/openssh/sftp-server 註解此行並修改為 Subsystem sftp internal-sftp

    $ sudo vim /etc/ssh/sshd_config

#Subsystem sftp /usr/lib/openssh/sftp-server

Subsystem sftp internal-sftp

    在檔案的尾端加上下面的片段

    Match group sftpaccess
    ChrootDirectory /home/%u
    X11Forwarding no
    AllowTcpForwarding no
    ForceCommand internal-sftp

  4. 建立新的使用者並加入 sftpaccess 群組
    在設定檔中,我們設置了 sftpaccess 這個群組套用要做 ChrootDirectory 的設定,所以我們將要限制的使用者,加入這個群組中。

    $ sudo useradd -G sftpaccess -m <<username>> -s /sbin/nologin

  5. 更改使用者家目錄權限
    由於 Chroot 的關係,這個要 ChrootDirectory 的目錄要將擁有者設定為 root,並且目錄的權限需要為 755。

    $ sudo chown root:root /home/<<username>>
$ sudo chmod 755 /home/<<username>>

  6. 建立上傳目錄及修改權限
    要讓使用者能上傳網頁到某個目錄,即能透過對應的網址看到內容,需要開啟上傳檔案的目錄,並於稍後的步驟中設定 Apache 的 userdir。Apache 預設的目錄名稱為 public_html 位置在使用者家目錄。
    使用者的家目錄在前一個步驟已經將擁有者設定為 root,使用者在登入後一定無法使用這個目錄,我們必須建立一個上傳目錄(public_html)並且將權限賦予使用者帳號。

    $ sudo mkdir /home/<<username>>/public_html
$ sudo chown <<username>>:<<username>> /home/<<username>>/public_html
$ sudo chmod 755 /home/<<username>>/public_html

  7. 安裝 Apache2

    $ sudo apt-get install apache2

  8. 開啟 userdir module
    使用 a2enmod 開啟 userdir,並重新啟動 Apache。

    $ sudo a2enmod userdir
$ sudo systemctl restart apache2

經過上述的步驟,使用者便僅能透過 SFTP 的方式將網站資料上傳至伺服器,由瀏覽器直接看到網頁內容了。

標籤:

留言

張貼留言

這個網誌中的熱門文章

Word的合併列印如何出現「千分位」符號

今天樓下的同事突然問我一個問題,合併列印的時候如何顯示「千分位符號」(逗號),就是12 , 300。在Excel我們可以很容易的為儲存格裡的數字加上千分位的標記,但是儲存格實際儲存的還是只有數字,那個千分位符號是Excel給我們看的一種「格式」。 當我們在Word裡使用Excel做好的報表來合併列印的時候,Word會最真實的將這個數字欄位給讀出來,呈現在合併列印的欄位數值裡,無論在Excel理事不是有設定千分位符號,在Word合併列印後卻沒有出現,所以我們同樣的必須給他加上格式。 Word裡加上格式並不如Excel裡按一下就完成,加上逗號的千分位格式方法如後: 1.在Word裡插入合併列印的欄位變數。 2.在變數上按滑鼠右鍵,選擇「切換功能變數代碼」(也可以直接按Alt+F9),變數會由 << 經費 >> 變成 { MERGEFIELD "經費" } 。 3.加上格式就是把 { MERGEFIELD "經費" } 在}前加入數字格式參數 /##,###,會成為 { MERGEFIELD "經費" /# ##,### }(這裡指定五位數,以此類推) #:這個格式項目會指定要在結果中顯示的必要位數;如果結果不含該位數的數字,則 Word 會顯示一個空格。 0:這個格式項目會指定要在結果中顯示的必要位數;如果結果不含該位數的數字,則 Word 會顯示 0 (零)。 4.預覽內容,就可以發現千分位(逗號)出現,如果數值有零的話,最好可以換成 /# ##,## 0 ,避免空格出現。 數字格式參數請參考 Microsoft Office Online 。
張貼留言
閱讀完整內容

在DOS下檔案名稱加上日期

由於要完成檔案自動備份的需求,以減少每日使用人工的麻煩,也可以避免人為疏失造成的遺漏,需要定時拷貝某個檔案至遠端,在檔名加上日期以避免檔案覆蓋的情形。由於近來接觸Linux較多,自然比較熟悉Linux的Shell語法,回到Windows裡卻想不到解決的方法。 開始使用電腦時,已經活生生的跳過了DOS的年代,雖然會使用Copy語法,卻不知怎麼加上系統日期,參拜估狗大師後得到了解答,使用%DATE%環境變數。 在DOS中使用date會顯示目前日期,但會要求輸入新的日期時間不符合需求,雖然加上"/T"不會詢問新時間,但因為date是指令無法使用在copy的語法中,所以我們使用%DATE%環境變數,所以在我們要加上日期的檔案上加上此環境變數:copy test.txt test_%DATE%.txt 結果並不如我們想像,使用echo看%DATE%的傳回值,會出現"2007/12/4",使用於copy語法裡系統回應「命令語法不正確」,我們必須去除「/」的符號,這就需要用到環境變數的擴充功能了! 用echo來測試: # echo %DATE:~0,4% : 取環境變數%DATE%的值,由第一碼開始取四碼(可以取出"西元年"的值)。 # echo %DATE:~5,2% :取環境變數%DATE%的值,由第六碼開始取二碼(可以取出"月"的值)。 # echo %DATE:~8,2% :取環境變數%DATE%的值,由第九碼開始取二碼(可以取出"日"的值)。 原先的 #copy test.txt test_%DATE%.txt 要更改成 #copy test.txt test %DATE:~0,4% %DATE:~5,2% %DATE:~8,2% .txt 拷貝後的檔案為test_20071204.txt
張貼留言
閱讀完整內容

DOS下連線/中斷網路磁碟機

最近實在是不得不和DOS多一點親近,在Linux中我們可以mount遠端電腦NFS分享出來的資料夾來做存取,輕易的備份我們需要的資料後再unmount,很Easy~:) 原本想在Windows下更應該輕而易舉的完成「連線網路磁碟機」用來將資料備份至遠端的電腦(或是遠端儲存設備)。沒錯,的確可以簡單的連線網路磁碟機,但當我們設定排程自動執行批次檔(*.bat)來進行遠端備份的工作時,windows就發揮他暈倒的功力......很抱歉,登出以後,剛剛建立的「連線網路磁碟機」就自動"中斷"了,批次檔裡寫的檔案路徑形同無效路徑。 只好繼續參拜估狗大神,以期保佑永不當機...不對,是在DOS下連線到網路磁碟機啦! DOS下我們要使用連線網路磁碟機,必須使用 net use 指令。 連線網路磁碟機: # net use x: \\ComputerName\ShareName "Password" / user: DottedDomain\UserName x :要對應至本機磁碟的代號 \\ComputerName\ShareName :遠端電腦及分享資料夾名稱 /user:DottedDomain\UserName :連線使用者名稱 例如: # net use z: \\192.168.0.10\sharefolder 連線至192.168.0.10的sharefolder對應至本機的z磁碟 # net use z: \\192.168.0.10\sharefolder "test" /user:192.168.0.10\Jeffy 連線至192.168.0.10的sharefolder對應至本機的z磁碟,連線時使用"Jeffy"連線密碼為"test" 連線網路磁碟機後,及可以直接切換磁碟機代號進入遠端連線的資料夾,進行copy或其他指令動作,完成任務後再中斷網路磁碟。 中斷網路磁碟機: # net use x: /delete x :連線的網路磁碟機代號 更詳盡的net use使用方式和參數請見 Microsoft Net use 。
張貼留言
閱讀完整內容