安全文件共享的实现
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Port 3371 将 SSH 服务器服务端口 修改为 3371,用户可以根据 自己的喜好进行服务端口的 挑选和设定。
(4)以 root 用户分别使 用命令 :
mkdir /workgroup/ test/test
mkdir /workgroup/ test1/test1
创 建“test”与“test1” 用 户 的 共 享 文 件 夹,并 确 保 “Workgroup”目 录 属 组 为 “root:root”,确 保 该 目 录 下 的 SFTP 用 户 主 目 录 属 组 为“root:workgroup”,确 保 SFTP 用户目录下的新建目录 属组为各自用户的属组。
所 以 使 用 SFTP 是 非 常 安 全
口需要采取关闭或者加固措
为了帮用户恢复文件共 的。在所有发行版 Linux 安
施,比 如 :139 端 口、145 端 享的功能,笔者结合 OpenSSH 装好 SSH Server 之后,SFTP
口、455 端口、3389 端口。
服 务 器 提 供 的 SFTP 功 能 以 的配置一般都是用一个外部
和 功 能。 为 了 满 足 目 前 网 络安全性的要求 , 可以使用 SFTP 代替 FTP 作为共享文件 的 后 端 服 务 系 统,以 下 将 以 创建规划的共享组和用户为 例。
1. 用户及目录规划 文 件 共 享 用 户 :test、 test1。 文件共享组 :workgroup。 文件共享组后端目录 :/ workgroup。 2. 配置过程 (1)以 root 用户使用命 令“groupadd workgroup” 在 SFTP 服 务 器 上 添 加 文 件 共享组,分别使用命令 : useradd -g sftpworkgroup -d / sworkgroup/test -s /sbin/ nologin test useradd -g workgroup -d /sftpworkgroup/test1 -s /sbin/nologin test1 创 建 规 划 的“test” 与“test1” 用 户,并 使 用 “passwd”命 令 修 改 用 户 密 码,尽 管 这 两 个 用 户 是 禁 止 直 接 登 录 到 服 务 器 系 统 的, 但是该用户未来需要通过 SFTP 方式登录到服务器进行 文 件 操 作 时 需 要 密 码 验 证, 因此需要修改密码以便可以
据要有数据备份的机制 ;
好的替代方法等问题。这说 序,而更像是一个客户端程
• 要 常 态 地 化 对 服 务 器 明这一功能的方便性确实在 序。
和应用系统进行漏洞检测, 广大的计算机使用者中广受
SFTP 同样是使用加密传
并及时发现、及时修复 ;
喜爱,有着很好的用户普及 输认证信息和传输的数据 ,
• 对 于 不 常 用 的 服 务 端 度。
workgroup/%u ForceCommand
internal-sftp 以 上 参 数 设 置 后,属 于
Workgroup 组 的 用 户 在 通 过 SFTP 方式访问文件共享服务 器时将被限定在定义的工作 目录区域中。
(3)以 root 用 户 使 用 命 令“vi /etc/ssh/sshd_ config”编 辑 SSH 服 务 器 配 置文件,添加如下行 :
图 1 使用 test1 用户登录 SFTP 服务器并上传和删除 txt 文件
正 常 通 过 SFTP 方 式 访 问 服 务器。
(2)以 root 用 户 使 用 命 令“vi /etc/ssh/sshd_ config”编 辑 SSH 服 务 器 配 置文件,并添加如下内容 :
Match Group workgroup ChrootDirectory /
责任编辑:赵志远 投稿信箱:netadmin@
信息安全 Security
安全文件共享的实现
■ 西安 薛民华 解宝琦
自“永 恒 之 编者按 : 在安全防护日益升级的当下,如何确保局域网 加 密 传 输 的 文
蓝”勒 索 病 毒 爆 文件共享安全性的前提下,又能满足操作的便捷性,成为 件共享方案,很
这样一来,安全问题解决 及第三方商业软件提供的映 独立的 SFTP-Servers。SFTP
了,但同时用户需要使用局 射网络驱动器功能,创建了 与 FTP 有着几乎一样的语法
2020.04 133
Security 信息安全
责任编辑:赵志远 投稿信箱:netadmin@
而通常情况下各个安全 域网文件共享功能不再可用 护进程 ( 端口号默认是 22)
厂家以及安全管理者给出的 后,笔者经常会在和普通用 来完成相应的连接和答复操
建议基本如下 :
户闲聊时被问及这一功能能 作。所以从某种意义上来说,
• 对 重 要 的 业 务 系 统 数 否被恢复使用或者有没有更 SFTP 并 不 像 一 个 服 务 器 程
蓝”、2018 年 的“撒 旦”还 是 是让系统维护和管理者头疼 服务器配置
2019 年的“ GlobeImposter” 不已。再加上很多企业中由
在 OpenSSH version 4.8
等 各 种 勒 索 病 毒 其 变 种 病 于计算机用户规模庞大,普 以后的软件包中,已经包含
毒,其攻击原理都是利用了 通用户使用的 Windows 系统 了 一 个 叫 作 SFTP(Secure
发 以 来,每 年 都 很多人的刚需,本文介绍一种安全便捷的文件共享方式。 好 地 满 足 了 用
有相应的勒索病
户的迫切需求
毒变种出现,对事发单位的 域网文件共享也不可能再方 及安全管理要求。
业务运营造成了严重影响。 便的进行了。很多时候,这
以下详细介绍实现方法。
不 管 是 2017 年 的“永 恒 之 种安全与用户需求的矛盾总
ห้องสมุดไป่ตู้
相应的操作系统或漏洞、协 跨版本现象相当普遍,也给 File Transfer Protocol)
议的弱口令等进行入侵,通 使用网络文件和打印机共享 的 安 全 文 件 信 息 传 输 子 系
过共享服务端口进行内网传 带来了很多设置难度。
统 ,SFTP 本身没有单独的守
播。
自从因为安全原因,让局 护进程,它必须使用 SSHD 守
(4)以 root 用户分别使 用命令 :
mkdir /workgroup/ test/test
mkdir /workgroup/ test1/test1
创 建“test”与“test1” 用 户 的 共 享 文 件 夹,并 确 保 “Workgroup”目 录 属 组 为 “root:root”,确 保 该 目 录 下 的 SFTP 用 户 主 目 录 属 组 为“root:workgroup”,确 保 SFTP 用户目录下的新建目录 属组为各自用户的属组。
所 以 使 用 SFTP 是 非 常 安 全
口需要采取关闭或者加固措
为了帮用户恢复文件共 的。在所有发行版 Linux 安
施,比 如 :139 端 口、145 端 享的功能,笔者结合 OpenSSH 装好 SSH Server 之后,SFTP
口、455 端口、3389 端口。
服 务 器 提 供 的 SFTP 功 能 以 的配置一般都是用一个外部
和 功 能。 为 了 满 足 目 前 网 络安全性的要求 , 可以使用 SFTP 代替 FTP 作为共享文件 的 后 端 服 务 系 统,以 下 将 以 创建规划的共享组和用户为 例。
1. 用户及目录规划 文 件 共 享 用 户 :test、 test1。 文件共享组 :workgroup。 文件共享组后端目录 :/ workgroup。 2. 配置过程 (1)以 root 用户使用命 令“groupadd workgroup” 在 SFTP 服 务 器 上 添 加 文 件 共享组,分别使用命令 : useradd -g sftpworkgroup -d / sworkgroup/test -s /sbin/ nologin test useradd -g workgroup -d /sftpworkgroup/test1 -s /sbin/nologin test1 创 建 规 划 的“test” 与“test1” 用 户,并 使 用 “passwd”命 令 修 改 用 户 密 码,尽 管 这 两 个 用 户 是 禁 止 直 接 登 录 到 服 务 器 系 统 的, 但是该用户未来需要通过 SFTP 方式登录到服务器进行 文 件 操 作 时 需 要 密 码 验 证, 因此需要修改密码以便可以
据要有数据备份的机制 ;
好的替代方法等问题。这说 序,而更像是一个客户端程
• 要 常 态 地 化 对 服 务 器 明这一功能的方便性确实在 序。
和应用系统进行漏洞检测, 广大的计算机使用者中广受
SFTP 同样是使用加密传
并及时发现、及时修复 ;
喜爱,有着很好的用户普及 输认证信息和传输的数据 ,
• 对 于 不 常 用 的 服 务 端 度。
workgroup/%u ForceCommand
internal-sftp 以 上 参 数 设 置 后,属 于
Workgroup 组 的 用 户 在 通 过 SFTP 方式访问文件共享服务 器时将被限定在定义的工作 目录区域中。
(3)以 root 用 户 使 用 命 令“vi /etc/ssh/sshd_ config”编 辑 SSH 服 务 器 配 置文件,添加如下行 :
图 1 使用 test1 用户登录 SFTP 服务器并上传和删除 txt 文件
正 常 通 过 SFTP 方 式 访 问 服 务器。
(2)以 root 用 户 使 用 命 令“vi /etc/ssh/sshd_ config”编 辑 SSH 服 务 器 配 置文件,并添加如下内容 :
Match Group workgroup ChrootDirectory /
责任编辑:赵志远 投稿信箱:netadmin@
信息安全 Security
安全文件共享的实现
■ 西安 薛民华 解宝琦
自“永 恒 之 编者按 : 在安全防护日益升级的当下,如何确保局域网 加 密 传 输 的 文
蓝”勒 索 病 毒 爆 文件共享安全性的前提下,又能满足操作的便捷性,成为 件共享方案,很
这样一来,安全问题解决 及第三方商业软件提供的映 独立的 SFTP-Servers。SFTP
了,但同时用户需要使用局 射网络驱动器功能,创建了 与 FTP 有着几乎一样的语法
2020.04 133
Security 信息安全
责任编辑:赵志远 投稿信箱:netadmin@
而通常情况下各个安全 域网文件共享功能不再可用 护进程 ( 端口号默认是 22)
厂家以及安全管理者给出的 后,笔者经常会在和普通用 来完成相应的连接和答复操
建议基本如下 :
户闲聊时被问及这一功能能 作。所以从某种意义上来说,
• 对 重 要 的 业 务 系 统 数 否被恢复使用或者有没有更 SFTP 并 不 像 一 个 服 务 器 程
蓝”、2018 年 的“撒 旦”还 是 是让系统维护和管理者头疼 服务器配置
2019 年的“ GlobeImposter” 不已。再加上很多企业中由
在 OpenSSH version 4.8
等 各 种 勒 索 病 毒 其 变 种 病 于计算机用户规模庞大,普 以后的软件包中,已经包含
毒,其攻击原理都是利用了 通用户使用的 Windows 系统 了 一 个 叫 作 SFTP(Secure
发 以 来,每 年 都 很多人的刚需,本文介绍一种安全便捷的文件共享方式。 好 地 满 足 了 用
有相应的勒索病
户的迫切需求
毒变种出现,对事发单位的 域网文件共享也不可能再方 及安全管理要求。
业务运营造成了严重影响。 便的进行了。很多时候,这
以下详细介绍实现方法。
不 管 是 2017 年 的“永 恒 之 种安全与用户需求的矛盾总
ห้องสมุดไป่ตู้
相应的操作系统或漏洞、协 跨版本现象相当普遍,也给 File Transfer Protocol)
议的弱口令等进行入侵,通 使用网络文件和打印机共享 的 安 全 文 件 信 息 传 输 子 系
过共享服务端口进行内网传 带来了很多设置难度。
统 ,SFTP 本身没有单独的守
播。
自从因为安全原因,让局 护进程,它必须使用 SSHD 守