FirewallD 是 CentOS 7 服务器上默认可用的防火墙管理工具。基本上，它是 iptables 的封装，有图形配置工具 firewall-config 和命令行工具 firewall-cmd。使用 iptables 服务，每次改动都要求刷新旧规则，并且从 /etc/sysconfig/iptables 读取新规则，然而 firewalld 只应用改动了的不同部分。

FirewallD 的 区域 （ zone ）

FirewallD 使用 服务 （ service ） 和 区域 （ zone ） 来代替 iptables 的 规则 （ rule ） 和 链 （ chain ） 。

默认情况下，有以下的 区域 （ zone ） 可用：

• drop – 丢弃所有传入的网络数据包并且无回应，只有传出网络连接可用。
• block — 拒绝所有传入网络数据包并回应一条主机禁止的 ICMP 消息，只有传出网络连接可用。
• public — 只接受被选择的传入网络连接，用于公共区域。
• external — 用于启用了地址伪装的外部网络，只接受选定的传入网络连接。
• dmz — DMZ 隔离区，外部受限地访问内部网络，只接受选定的传入网络连接。
• work — 对于处在你工作区域内的计算机，只接受被选择的传入网络连接。
• home — 对于处在你家庭区域内的计算机，只接受被选择的传入网络连接。
• internal — 对于处在你内部网络的计算机，只接受被选择的传入网络连接。
• trusted — 所有网络连接都接受。

要列出所有可用的区域，运行：

# firewall-cmd --get-zones
work drop internal external trusted home dmz public block

列出默认的区域 ：

# firewall-cmd --get-default-zone
public

改变默认的区域 ：

# firewall-cmd --set-default-zone=dmz
# firewall-cmd --get-default-zone
dmz

FirewallD 服务

FirewallD 服务使用 XML 配置文件，记录了 firewalld 服务信息。

列出所有可用的服务：

# firewall-cmd --get-services
amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster radius rpc-bind rsyncd samba samba-client sane smtp smtps snmp snmptrap squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

XML 配置文件存储在 /usr/lib/firewalld/services/ 和 /etc/firewalld/services/ 目录下。

用 FirewallD 配置你的防火墙

作为一个例子，假设你正在运行一个 web 服务器，SSH 服务端口为 7022 ，以及邮件服务，你可以利用 FirewallD 这样配置你的服务器:

首先设置默认区为 dmz。

# firewall-cmd --set-default-zone=dmz
# firewall-cmd --get-default-zone
dmz

为 dmz 区添加持久性的 HTTP 和 HTTPS 规则：

# firewall-cmd --zone=dmz --add-service=http --permanent
# firewall-cmd --zone=dmz --add-service=https --permanent

开启端口 25 (SMTP) 和端口 465 (SMTPS) ：

firewall-cmd --zone=dmz --add-service=smtp --permanent
firewall-cmd --zone=dmz --add-service=smtps --permanent

开启 IMAP、IMAPS、POP3 和 POP3S 端口：

firewall-cmd --zone=dmz --add-service=imap --permanent
firewall-cmd --zone=dmz --add-service=imaps --permanent
firewall-cmd --zone=dmz --add-service=pop3 --permanent
firewall-cmd --zone=dmz --add-service=pop3s --permanent

因为将 SSH 端口改到了 7022，所以要移除 ssh 服务（端口 22），开启端口 7022：

firewall-cmd --remove-service=ssh --permanent
firewall-cmd --add-port=7022/tcp --permanent

要应用这些更改，我们需要重新加载防火墙：

firewall-cmd --reload

最后可以列出这些规则：

# firewall-cmd –list-all
dmz
target: default
icmp-block-inversion: no
interfaces:
sources:
services: http https imap imaps pop3 pop3s smtp smtps
ports: 7022/tcp
protocols:
masquerade: no
forward-ports:
sourceports:
icmp-blocks:
rich rules:

PS. 如果你喜欢这篇文章，请在下面留下一个回复。谢谢。

via: https://www.rosehosting.com/blog/set-up-and-configure-a-firewall-with-firewalld-on-centos-7/

译者简介：

Locez 是一个喜欢技术，喜欢折腾的 Linuxer，靠着对 Linux 的兴趣自学了很多 Linux 相关的知识，并且志在于为 Linux 在中国普及出一份力。

作者：rosehosting.com 译者：Locez 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

MariaDB 是 MySQL 数据库的自由开源分支，与 MySQL 在设计思想上同出一源，在未来仍将是自由且开源的。

在这篇博文中，我将会介绍如何在当前使用最广的 RHEL/CentOS 和 Fedora 发行版上安装 MariaDB 10.1 稳定版。

目前了解到的情况是：Red Hat Enterprise Linux/CentOS 7.0 发行版已将默认的数据库从 MySQL 切换到 MariaDB。

在本文中需要注意的是，我们假定您能够在服务器中使用 root 帐号工作，或者可以使用 sudo 命令运行任何命令。

第一步：添加 MariaDB yum 仓库

1、首先在 RHEL/CentOS 和 Fedora 操作系统中添加 MariaDB 的 YUM 配置文件 MariaDB.repo 文件。

# vi /etc/yum.repos.d/MariaDB.repo

根据您操作系统版本，选择下面的相应内容添加到文件的末尾。

在 CentOS 7 中安装

[mariadb]
name = MariaDB
baseurl = http://yum.mariadb.org/10.1/centos7-amd64
gpgkey=https://yum.mariadb.org/RPM-GPG-KEY-MariaDB
gpgcheck=1

在 RHEL 7 中安装

[mariadb]
name = MariaDB
baseurl = http://yum.mariadb.org/10.1/rhel7-amd64
gpgkey=https://yum.mariadb.org/RPM-GPG-KEY-MariaDB
gpgcheck=1

添加 MariaDB YUM 仓库

第二步：在 CentOS 7 中安装 MariaDB

2、当 MariaDB 仓库地址添加好后，你可以通过下面的一行命令轻松安装 MariaDB。

# yum install MariaDB-server MariaDB-client -y

在 CentOS 7 中安装 MariaDB

3、 MariaDB 包安装完毕后，立即启动数据库服务守护进程，并可以通过下面的操作设置，在操作系统重启后自动启动服务。

# systemctl start mariadb
# systemctl enable mariadb
# systemctl status mariadb

在 CentOS 7 中启动 MariaDB 服务

第三步：在 CentOS 7 中对 MariaDB 进行安全配置

4、 现在可以通过以下操作进行安全配置：设置 MariaDB 的 root 账户密码，禁用 root 远程登录，删除测试数据库以及测试帐号，最后需要使用下面的命令重新加载权限。

# mysql_secure_installation

CentOS 7 中的 MySQL 安全配置

5、 在配置完数据库的安全配置后，你可能想检查下 MariaDB 的特性，比如：版本号、默认参数列表、以及通过 MariaDB 命令行登录。如下所示：

# mysql -V
# mysqld --print-defaults
# mysql -u root -p

检查 MySQL 版本信息

第四步：学习 MariaDB 管理

如果你刚开始学习使用 MySQL/MariaDB，可以通过以下指南学习：

1. 新手学习 MySQL / MariaDB（一）
2. 新手学习 MySQL / MariaDB（二）
3. MySQL 数据库基础管理命令（三）
4. 20 MySQL 管理命令 Mysqladmin（四）

同样查看下面的文档学习如何优化你的 MySQL/MariaDB 服务，并使用工具监控数据库的活动情况。

1. 15 个 MySQL/MariaDB 调优技巧
2. 4 监控 MySQL/MariaDB 数据库的工具

文章到此就结束了，本文内容比较浅显，文中主要展示了如何在 RHEL/CentOS 和 Fefora 操作系统中安装 MariaDB 10.1 稳定版。您可以通过下面的联系方式将您遇到的任何问题或者想法发给我们。

作者简介： Aaron Kill 是 Linux 和开源软件的狂热爱好者，即将成为一名 Linux 系统管理员和网站开发工程师，现在是 TecMint 的原创作者，喜欢使用电脑工作并且热衷分享知识。

via: http://www.tecmint.com/install-mariadb-in-centos-7/

作者：Aaron Kili 译者：beyondworld 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

如果你是第一次设置 MySQL 或 MariaDB 数据库，你可以直接运行 mysql_secure_installation 来实现基本的安全设置。

其中一项是设置数据库 root 帐户的密码 - 你必须保持私密，并仅在绝对需要时使用。如果你忘记了密码或需要重置密码（例如，当数据库管理员换人或被裁员！），这篇文章会派上用场。我们将解释如何在 Linux 中重置或恢复 MySQL 或 MariaDB 的 root 密码。

建议阅读： 更改 MySQL 或 MariaDB 的 root 密码。

虽然我们将在本文中使用 MariaDB，但这些说明同样也适用于 MySQL。

恢复 MySQL 或者 MariaDB 的 root 密码

开始之前，先停止数据库服务并检查服务状态，我们应该可以看到先前设置的环境变量：

------------- SystemD ------------- 
# systemctl stop mariadb
------------- SysVinit -------------
# /etc/init.d/mysqld stop

接下来，用 --skip-grant-tables 选项启动服务：

------------- SystemD ------------- 
# systemctl set-environment MYSQLD_OPTS="--skip-grant-tables"
# systemctl start mariadb
# systemctl status mariadb
------------- SysVinit -------------
# mysqld_safe --skip-grant-tables &

使用 skip tables 启动 MySQL/MariaDB

这可以让你不用 root 密码就能连接到数据库（你也许需要切换到另外一个终端上）：

# mysql -u root

接下来，按照下面列出的步骤来。

MariaDB [(none)]> USE mysql;
MariaDB [(none)]> UPDATE user SET password=PASSWORD('YourNewPasswordHere') WHERE User='root' AND Host = 'localhost';
MariaDB [(none)]> FLUSH PRIVILEGES;

最后，停止服务，取消环境变量设置并再次启动服务：

------------- SystemD ------------- 
# systemctl stop mariadb
# systemctl unset-environment MYSQLD_OPTS
# systemctl start mariadb
------------- SysVinit -------------
# /etc/init.d/mysql stop
# /etc/init.d/mysql start

这可以让先前的改变生效，允许你使用新的密码连接到数据库。

总结

本文我们讨论了如何重置 MariaDB/MySQL 的 root 密码。一如往常，如果你有任何问题或反馈请在评论栏中给我们留言。我们期待听到你的声音。

作者简介：

Gabriel Cánepa - 一位来自阿根廷圣路易斯梅塞德斯镇 (Villa Mercedes, San Luis, Argentina) 的 GNU/Linux 系统管理员，Web 开发者。就职于一家世界领先级的消费品公司，乐于在每天的工作中能使用 FOSS 工具来提高生产力。

via: http://www.tecmint.com/reset-mysql-or-mariadb-root-password/

作者：Gabriel Cánepa 译者：geekpi 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

FTP（文件传输协议）是一个较老且最常用的标准网络协议，用于在两台计算机之间通过网络上传/下载文件。然而， FTP 最初的时候并不安全，因为它仅通过用户凭证（用户名和密码）传输数据，没有进行加密。

警告：如果你打算使用 FTP， 需要考虑通过 SSL/TLS（将在下篇文章中讨论）配置 FTP 连接。否则，使用安全 FTP，比如 SFTP 会更好一些。

推荐阅读：如何在 CentOS 7 中安装并保护 FTP 服务器

在这个教程中，我将向你们展示如何在 Ubuntu 中安装、配置并保护 FTP 服务器（VSFTPD 的全称是 “Very Secure FTP Deamon”），从而拥有强大的安全性，能够防范 FTP 漏洞。

第一步：在 Ubuntu 中安装 VSFTPD 服务器

1、首先，我们需要更新系统安装包列表，然后像下面这样安装 VSFTPD 二进制包：

$ sudo apt-get update
$ sudo apt-get install vsftpd

2、一旦安装完成，初始情况下服务被禁用。因此，我们需要手动开启服务，同时，启动它使得在下次开机时能够自动开启服务：

------------- On SystemD -------------
# systemctl start vsftpd
# systemctl enable vsftpd
------------- On SysVInit -------------
# service vsftpd start
# chkconfig --level 35 vsftpd on

3、接下来，如果你在服务器上启用了 UFW 防火墙（默认情况下不启用），那么需要打开端口 20 和 21 —— FTP 守护进程正在监听它们——从而才能允许从远程机器访问 FTP 服务，然后，像下面这样添加新的防火墙规则：

$ sudo ufw allow 20/tcp
$ sudo ufw allow 21/tcp
$ sudo ufw status

第二步：在 Ubuntu 中配置并保护 VSFTPD 服务器

4、让我们进行一些配置来设置和保护 FTP 服务器。首先，我们像下面这样创建一个原始配置文件 /etc/vsftpd/vsftpd.conf 的备份文件：

$ sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig

接下来，打开 vsftpd 配置文件。

$ sudo vi /etc/vsftpd.conf
OR
$ sudo nano /etc/vsftpd.conf

把下面的这些选项添加/改成所展示的值：

anonymous_enable=NO             # 关闭匿名登录
local_enable=YES        # 允许本地用户登录
write_enable=YES        # 启用可以修改文件的 FTP 命令
local_umask=022             # 本地用户创建文件的 umask 值
dirmessage_enable=YES           # 当用户第一次进入新目录时显示提示消息
xferlog_enable=YES      # 一个存有详细的上传和下载信息的日志文件
connect_from_port_20=YES        # 在服务器上针对 PORT 类型的连接使用端口 20（FTP 数据）
xferlog_std_format=YES          # 保持标准日志文件格式
listen=NO               # 阻止 vsftpd 在独立模式下运行
listen_ipv6=YES             # vsftpd 将监听 ipv6 而不是 IPv4，你可以根据你的网络情况设置
pam_service_name=vsftpd         # vsftpd 将使用的 PAM 验证设备的名字
userlist_enable=YES             # 允许 vsftpd 加载用户名字列表
tcp_wrappers=YES        # 打开 tcp 包装器

5、现在，配置 VSFTPD ，基于用户列表文件 /etc/vsftpd.userlist 来允许或拒绝用户访问 FTP。

注意，在默认情况下，如果通过 userlist_enable=YES 启用了用户列表，且设置 userlist_deny=YES 时，那么，用户列表文件 /etc/vsftpd.userlist 中的用户是不能登录访问的。

但是，选项 userlist_deny=NO 则反转了默认设置，这种情况下只有用户名被明确列出在 /etc/vsftpd.userlist 中的用户才允许登录到 FTP 服务器。

userlist_enable=YES                   # vsftpd 将会从所给的用户列表文件中加载用户名字列表
userlist_file=/etc/vsftpd.userlist    # 存储用户名字的列表
userlist_deny=NO

重要的是，当用户登录 FTP 服务器以后，他们将进入 chrooted 环境，即当在 FTP 会话时，其 root 目录将是其 home 目录。

接下来，我们来看一看两种可能的途径来设置 chrooted（本地 root）目录，正如下面所展示的。

6、这时，让我们添加/修改/取消这两个选项来将 FTP 用户限制在其 home 目录

chroot_local_user=YES
allow_writeable_chroot=YES

选项 chroot_local_user=YES 意味着本地用户将进入 chroot 环境，当登录以后默认情况下是其 home 目录。

并且我们要知道，默认情况下，出于安全原因，VSFTPD 不允许 chroot 目录具有可写权限。然而，我们可以通过选项 allow_writeable_chroot=YES 来改变这个设置

保存文件然后关闭。现在我们需要重启 VSFTPD 服务从而使上面的这些更改生效：

------------- On SystemD -------------
# systemctl restart vsftpd
------------- On SysVInit -------------
# service vsftpd restart

第三步：在 Ubuntu 上测试 VsFTP 服务器

7、现在，我们通过使用下面展示的 useradd 命令创建一个 FTP 用户来测试 FTP 服务器：

$ sudo useradd -m -c "Aaron Kili, Contributor" -s /bin/bash aaronkilik
$ sudo passwd aaronkilik

然后，我们需要像下面这样使用 echo 命令和 tee 命令来明确地列出文件 /etc/vsftpd.userlist 中的用户 aaronkilik：

$ echo "aaronkilik" | sudo tee -a /etc/vsftpd.userlist
$ cat /etc/vsftpd.userlist

8、现在，是时候来测试上面的配置是否具有我们想要的功能了。我们首先测试匿名登录；我们可以从下面的输出中很清楚的看到，在这个 FTP 服务器中是不允许匿名登录的：

# ftp 192.168.56.102
Connected to 192.168.56.102  (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.102:aaronkilik) : anonymous
530 Permission denied.
Login failed.
ftp> bye
221 Goodbye.

9、接下来，我们将测试，如果用户的名字没有在文件 /etc/vsftpd.userlist 中，是否能够登录。从下面的输出中，我们看到，这是不可以的：

# ftp 192.168.56.102
Connected to 192.168.56.102  (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.10:root) : user1
530 Permission denied.
Login failed.
ftp> bye
221 Goodbye.

10、现在，我们将进行最后一项测试，来确定列在文件 /etc/vsftpd.userlist 文件中的用户登录以后，是否实际处于 home 目录。从下面的输出中可知，是这样的：

# ftp 192.168.56.102
Connected to 192.168.56.102  (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.102:aaronkilik) : aaronkilik
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls

在 Ubuntu 中确认 FTP 登录

警告：设置选项 allow_writeable_chroot=YES 是很危险的，特别是如果用户具有上传权限，或者可以 shell 访问的时候，很可能会出现安全问题。只有当你确切的知道你在做什么的时候，才可以使用这个选项。

我们需要注意，这些安全问题不仅会影响到 VSFTPD，也会影响让本地用户进入 chroot 环境的 FTP daemon。

因为这些原因，在下一步中，我将阐述一个更安全的方法，来帮助用户设置一个非可写本地 root 目录。

第四步：在 Ubuntu 中配置 FTP 用户的 Home 目录

11、现在，再次打开 VSFTPD 配置文件。

$ sudo vi /etc/vsftpd.conf
OR
$ sudo nano /etc/vsftpd.conf

然后像下面这样用 # 把不安全选项注释了：

#allow_writeable_chroot=YES

接下来，为用户创建一个替代的本地 root 目录（aaronkilik，你的可能和这不一样），然后设置目录权限，取消其他所有用户对此目录的写入权限：

$ sudo mkdir /home/aaronkilik/ftp
$ sudo chown nobody:nogroup /home/aaronkilik/ftp
$ sudo chmod a-w /home/aaronkilik/ftp

12、然后，在本地 root 目录下创建一个具有合适权限的目录，用户将在这儿存储文件：

$ sudo mkdir /home/aaronkilik/ftp/files
$ sudo chown -R aaronkilk:aaronkilik /home/aaronkilik/ftp/files
$ sudo chmod -R 0770 /home/aaronkilik/ftp/files/

之后，将 VSFTPD 配置文件中的下面这些选项添加/修改为相应的值：

user_sub_token=$USER          # 在本地 root 目录中插入用户名
local_root=/home/$USER/ftp    # 定义各个用户的本地 root 目录

保存文件并关闭。然后重启 VSFTPD 服务来使上面的设置生效：

------------- On SystemD -------------
# systemctl restart vsftpd
------------- On SysVInit -------------
# service vsftpd restart

13、现在，让我们来最后检查一下，确保用户的本地 root 目录是我们在他的 Home 目录中创建的 FTP 目录。

# ftp 192.168.56.102
Connected to 192.168.56.102  (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.10:aaronkilik) : aaronkilik
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls

FTP 用户 Home 目录登录

就是这样的！记得通过下面的评论栏来分享你关于这篇指导的想法，或者你也可以提供关于这一话题的任何重要信息。

最后但不是不重要，请不要错过我的下一篇文章，在下一篇文章中，我将阐述如何使用 SSL/TLS 来保护连接到 Ubuntu 16.04/16.10 的 FTP 服务器，在那之前，请始终关注我们。

作者简介：

Aaron Kili 是 Linux 和 F.O.S.S 爱好者，即将成为 Linux SysAdmin 和网络开发人员，目前是 TecMint 的内容创作者，他喜欢在电脑上工作，并坚信分享知识。

via: http://www.tecmint.com/install-ftp-server-in-ubuntu/

作者：Aaron Kili 译者：ucasFL 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

将 SSH 用户会话限制访问到特定的目录内，特别是在 web 服务器上，这样做有多个原因，但最显而易见的是为了系统安全。为了锁定 SSH 用户在某个目录，我们可以使用 chroot 机制。

在诸如 Linux 之类的类 Unix 系统中更改 root（chroot）是将特定用户操作与其他 Linux 系统分离的一种手段；使用称为 chrooted 监狱 的新根目录更改当前运行的用户进程及其子进程的明显根目录。

在本教程中，我们将向你展示如何限制 SSH 用户访问 Linux 中指定的目录。注意，我们将以 root 用户身份运行所有命令，如果你以普通用户身份登录服务器，请使用 sudo 命令。

步骤 1：创建 SSH chroot 监狱

1、 使用 mkdir 命令开始创建 chroot 监狱：

# mkdir -p /home/test

2、 接下来，根据 sshd_config 手册找到所需的文件，ChrootDirectory 选项指定在身份验证后要 chroot 到的目录的路径名。该目录必须包含支持用户会话所必需的文件和目录。

对于交互式会话，这需要至少一个 shell，通常为 sh 和基本的 /dev 节点，例如 null、zero、stdin、stdout、stderr 和 tty 设备：

# ls -l /dev/{null,zero,stdin,stdout,stderr,random,tty}

列出所需文件

3、 现在，使用 mknod 命令创建 /dev 下的文件。在下面的命令中，-m 标志用来指定文件权限位，c 意思是字符文件，两个数字分别是文件指向的主要号和次要号。

# mkdir -p /home/test/dev/      
# cd /home/test/dev/
# mknod -m 666 null c 1 3
# mknod -m 666 tty c 5 0
# mknod -m 666 zero c 1 5
# mknod -m 666 random c 1 8

创建 /dev 和所需文件

4、 在此之后，在 chroot 监狱中设置合适的权限。注意 chroot 监狱和它的子目录以及子文件必须被 root 用户所有，并且对普通用户或用户组不可写：

# chown root:root /home/test
# chmod 0755 /home/test
# ls -ld /home/test

设置目录权限

步骤 2：为 SSH chroot 监狱设置交互式 shell

5、 首先，创建 bin 目录并复制 /bin/bash 到 bin 中：

# mkdir -p /home/test/bin
# cp -v /bin/bash /home/test/bin/

复制文件到 bin 目录中

6、 现在，识别 bash 所需的共享库，如下所示复制它们到 lib64 中：

# ldd /bin/bash
# mkdir -p /home/test/lib64
# cp -v /lib64/{libtinfo.so.5,libdl.so.2,libc.so.6,ld-linux-x86-64.so.2} /home/test/lib64/

复制共享库文件

步骤 3：创建并配置 SSH 用户

7、 现在，使用 useradd 命令创建 SSH 用户，并设置安全密码：

# useradd tecmint
# passwd tecmint

8、 创建 chroot 监狱通用配置目录 /home/test/etc 并复制已更新的账号文件（/etc/passwd 和 /etc/group）到这个目录中：

# mkdir /home/test/etc
# cp -vf /etc/{passwd,group} /home/test/etc/

复制密码文件

注意：每次向系统添加更多 SSH 用户时，都需要将更新的帐户文件复制到 /home/test/etc 目录中。

步骤 4：配置 SSH 来使用 chroot 监狱

9、 现在打开 sshd_config 文件。

# vi /etc/ssh/sshd_config

在此文件中添加或修改下面这些行。

# 定义要使用 chroot 监狱的用户
Match User tecmint
# 指定 chroot 监狱
ChrootDirectory /home/test

配置 SSH chroot 监狱

保存文件并退出，重启 sshd 服务：

# systemctl restart sshd
或者
# service sshd restart

步骤 5：测试 SSH 的 chroot 监狱

10、 这次，测试 chroot 监狱的设置是否如希望的那样成功了：

# ssh [email protected]
-bash-4.1$ ls
-bash-4.1$ date
-bash-4.1$ uname

测试 SSH 用户 chroot 监狱

从上面的截图上来看，我们可以看到 SSH 用户被锁定在了 chroot 监狱中，并且不能使用任何外部命令如（ls、date、uname 等等）。

用户只可以执行 bash 以及它内置的命令（比如：pwd、history、echo 等等）：

# ssh [email protected]
-bash-4.1$ pwd
-bash-4.1$ echo "Tecmint - Fastest Growing Linux Site"
-bash-4.1$ history

SSH 内置命令

步骤 6： 创建用户的主目录并添加 Linux 命令

11、 从前面的步骤中，我们可以看到用户被锁定在了 root 目录，我们可以为 SSH 用户创建一个主目录（以及为所有将来的用户这么做）：

# mkdir -p /home/test/home/tecmint
# chown -R tecmint:tecmint /home/test/home/tecmint
# chmod -R 0700 /home/test/home/tecmint

创建 SSH 用户主目录

12、 接下来，在 bin 目录中安装几个用户命令，如 ls、date、mkdir：

# cp -v /bin/ls /home/test/bin/
# cp -v /bin/date /home/test/bin/
# cp -v /bin/mkdir /home/test/bin/

向 SSH 用户添加命令

13、 接下来，检查上面命令的共享库并将它们移到 chroot 监狱的库目录中：

# ldd /bin/ls
# cp -v /lib64/{libselinux.so.1,libcap.so.2,libacl.so.1,libc.so.6,libpcre.so.1,libdl.so.2,ld-linux-x86-64.so.2,libattr.so.1,libpthread.so.0} /home/test/lib64/

复制共享库

步骤 7：测试 sftp 的 用 chroot 监狱

14、 最后用 sftp 做一个测试；测试你先前安装的命令是否可用。

在 /etc/ssh/sshd_config 中添加下面的行：

# 启用 sftp 的 chroot 监狱 
ForceCommand internal-sftp

保存并退出文件。接下来重启 sshd 服务：

# systemctl restart sshd
或者
# service sshd restart

15、 现在使用 ssh 测试，你会得到下面的错误：

# ssh [email protected]

测试 SSH Chroot 监狱

试下使用 sftp：

# sftp [email protected]

测试 sFTP SSH 用户

建议阅读： 使用 chroot 监狱将 sftp 用户限制在主目录中。

就是这样了！在文本中，我们向你展示了如何在 Linux 中限制 ssh 用户到指定的目录中（ chroot 监狱）。请在评论栏中给我们提供你的想法。

作者简介：

Aaron Kili 是一个 Linux 及 F.O.S.S 热衷者，即将成为 Linux 系统管理员、web 开发者，目前是 TecMint 的内容创作者，他喜欢用电脑工作，并坚信分享知识。

via: http://www.tecmint.com/restrict-ssh-user-to-directory-using-chrooted-jail/

作者：Aaron Kili 译者：geekpi 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

SSH （指 SSH 客户端）是一个用于访问远程主机的程序，它使得用户能够 在远程主机上执行命令。这是在登录远程主机中的最受推崇的方法之一，因为其设计目的就是在非安全网络环境上为两台非受信主机的通信提供安全加密。

SSH 使用系统全局以及用户指定（用户自定义）的配置文件。在本文中，我们将介绍如何创建一个自定义的 ssh 配置文件，并且通过特定的选项来连接到远程主机。

先决条件：

1. 你必须 在你的桌面 Linux 上安装好 OpenSSH 客户端。
2. 了解通过 ssh 进行远程连接的常用选项。

SSH 客户端配置文件

以下为 ssh 客户端配置文件：

1. /etc/ssh/ssh_config 为默认的配置文件，属于系统全局配置文件，包含应用到所有用户的 ssh 客户端的设置。
2. ~/.ssh/config 或者 $HOME/.ssh/config 为用户指定/自定义配置文件，这个文件中的配置只对指定的用户有效，因此，它会覆盖掉默认的系统全局配置文件中的设置。这也是我们要创建和使用的文件。

默认情况下，用户是通过在 ssh 中输入密码来获取验证的，你可以以一个简单的步骤来 使用 Keygen 来设置 ssh 无密码登录。

注：如果你的系统上不存在 ~/.ssh 目录，那就手动创建它，并设置如下权限：

$ mkdir -p ~/.ssh
$ chmod 0700 ~/.ssh   

以上的 chmod 命令表明，只有目录属主对该目录有读取、写入和执行权限，这也是 ssh 所要求的设置。

如何创建用户指定的 SSH 配置文件

该文件并不会被默认创建的，所以你需要使用具有读取/写入权限的用户来创建它。

$ touch ~/.ssh/config
$ chmod 0700 ~/.ssh/config

上述文件包含由特定主机定义的各个部分，并且每个部分只应用到主机定义中相匹配的部分。

~/.ssh/config 文件的常见格式如下，其中所有的空行和以 ‘#’ 开头的行为注释：

Host  host1
ssh_option1=value1
ssh_option2=value1 value2
ssh_option3=value1
Host  host2
ssh_option1=value1
ssh_option2=value1 value2
Host  *
ssh_option1=value1
ssh_option2=value1 value2

如上格式详解：

1. Host host1 为关于 host1 的头部定义，主机相关的设置就从此处开始，直到下一个头部定义 Host host2 出现，这样形成一个完整的定义。
2. host1 和 host2 是在命令行中使用的主机别名，并非实际的远程主机名。
3. 其中，如 sshoption1=value1、sshoption2=value1 value2 等配置选项将应用到相匹配的主机，可以缩进以看起来更整齐些。
4. 对于 ssh\_option2=value1 value2 这样的选项，ssh 执行时会按照顺序优先使用 value1 的值。
5. 头部定义 Host * (其中 * 为匹配模式/通配符，匹配零个或多个字符) 会匹配零个或者多个主机。

仍旧以上述的格式为例，ssh 也是也这样的形式类读取配置文件的。如果你执行 ssh 命令来访问远程主机 host1，如下：

$ ssh host1

以上 ssh 命令会进行一下动作：

1. 匹配配置文件中主机别名 host1，并使用头部定义中的各个设置项。
2. 继续匹配下一个主机定义，然后发现命令行中提供的主机名没有匹配的了，所以接下来的各个设置项会被略过。
3. 最后执行到最后一个主机定义 Host *， 这会匹配所有的主机。这里，会将接下来的所有设置选项应用到所有的主机连接中。但是它不会覆写之前已经有主机定义的那些选项。
4. ssh host2 与此类似。

如何使用用户指定的 SSH 配置文件

在你理解了 ssh 客户端配置文件的工作方式之后，你可以通过如下方式来创建它。记得使用你的服务器环境中对应的选项、值 (主机别名、端口号、用户名等)。

通过你最喜欢的编辑器来打开配置文件：

$ vi ~/.ssh/config

并定义必要的部分：

Host fedora25
HostName 192.168.56.15
Port 22
ForwardX11 no
Host centos7
HostName 192.168.56.10
Port 22
ForwardX11 no
Host ubuntu
HostName 192.168.56.5
Port 2222
ForwardX11 yes
Host *
User tecmint
IdentityFile ~/.ssh/id_rsa
Protocol 2
Compression yes
ServerAliveInterval 60
ServerAliveCountMax 20
LogLevel INFO

以上 ssh 配置文件的详细解释：

1. HostName - 定义真正要登录的主机名，此外，你也可以使用数字 IP 地址，不管是在命令行或是 HostName 定义中都允许使用其中任一种。
2. User – 指定以哪一个用户来登录。
3. Port – 设置连接远程主机的端口，默认是 22 端口。但必须是远程主机的 sshd 配置文件中定义的端口号。
4. Protocol – 这个选项定义了优先使用 ssh 支持的协议版本。常用的值为 ‘1’ 和 ‘2’，同时使用两个协议版本则必须使用英文逗号隔开。
5. IdentityFile – 指定一个用于读取用户 DSA、Ed25519、ECDSA 等授权验证信息的文件。
6. ForwardX11 – 定义 X11 连接是否自动重定向到安全通道和 DISPLAY 设置。有两个可以设置的值，即 yes 或 no。
7. Compression – 默认值为 no，如果设置为 yes，则在连接远程主机过程中使用压缩进行传输。
8. ServerAliveInterval – 设置当没有收到服务器响应 （或者数据)）时的超时时间，单位为秒，ssh 会通过加密信道发送信息，请求服务器响应。默认值为 0，这意味着 ssh 不会向服务器发送响应请求；如果定义了 BatchMode 选项，则默认是 300 秒。
9. ServerAliveCountMax – 设置服务器在没有接收到服务器的任何响应时，由服务器发送的活动信息数量。
10. LogLevel – 定义 ssh 登录信息的的日志冗余级别。允许的值为：QUIET、FATAL、ERROR、INFO、VERBOSE、DEBUG、DEBUG1、DEBUG2 和 DEBUG3，默认为 INFO。

连接任意远程主机的标准方法是在上述两个文件中定义第二个部分（我连接的是 CentOS 7）。一般情况下，我们这样输入命令：

$ ssh -i ~/.ssh/id_rsa -p 22 [email protected]

然而，使用了 ssh 客户端配置文件之后，我们还可以这样：

$ ssh centos7

你也可以在 man 帮助页面寻找更多的设置选项和使用实例：

$man ssh_config

至此，文毕。我们在文中向你介绍了在 Linux 中如何使用用户指定 (自定义) 的 ssh 客户端配置文件。通过下方的反馈表单来写一些与本文的相关的想法吧。

作者简介：

Aaron Kili 是一名 Linux 和 F.O.S.S 忠实拥护者、高级 Linux 系统管理员、Web 开发者，目前在 TecMint 是一名活跃的博主，热衷于计算机并有着强烈的只是分享意愿。

译者简介：

GHLandy —— 生活中所有欢乐与苦闷都应藏在心中，有些事儿注定无人知晓，自己也无从说起。

via: http://www.tecmint.com/configure-custom-ssh-connection-in-linux/

作者：Aaron Kili 译者：GHLandy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出