IBM AIX SFTP계정 홈 상위디렉토리 제한하는 방법

IBM AIX SFTP계정 홈 상위 디렉터리 제한하는 방법

[root@test_svr2:/]# lsvg -l sftpvg | grep -i sftpadm
sftplv              jfs2       10      10      1    open/syncd    /sftpadm

-> 테스트를 하기 위해서 사전에 sftpvg 및 sftplv 그리고 /sftpadm 파일 시스템까지 생성을 해줍니다.

[root@test_svr2:/]# cat /etc/group | grep -i sftpGP
sftpGP:!:999:sftpadm

-> sftp계정을 만들기 전에 그룹을 한개 생성해줍니다. (하단) 이전의 sftp계정 만들기를 참고하셔도 될 것 같습니다.

[root@test_svr2:/]# cat /etc/passwd | grep -i sftpadm
sftpadm:*:998:1::/sftpadm/upload:/usr/bin/ksh

-> sftpadm이라는 유저계정을 생성해줍니다. 그리고 자신이 설정한 UID 및 지정된 그룹에 속해있는지 확인합니다.

[root@test_svr2:/]#chmod 775 /sftpadm/upload

-> 테스트를 진행할 sftpadm의 홈 디렉터리 경로의 권한을 775로 수정해줍니다. /sftpadm/upload

[root@test_svr2:/]# su - sftpadm
[sftpadm@test_svr2:/sftpadm/upload]#

-> sftpadm의 계정으로 접속을 합니다. 홈 디렉터리로 지정해놓은 /sftpadm/upload의 경로로 올바르게 접속된 것을 확인할 수 있습니다.

[sftpadm@test_svr2:/sftpadm/upload]#ssh sftpadm@10.50.1.152
Last login: Tue Jan 26 01:22:32 KST 2021 on /dev/pts/13 from test_svr1
******************************************************************************
*                                                                            *
*                                                                            *
*  Welcome to AIX Version 7.1!                                               *
*                                                                            *
*                                                                            *
*  Please see the README file in /usr/lpp/bos for information pertinent to   *
*  this release of the AIX Operating System.                                 *
*                                                                            *							       											
*                                                                            *
******************************************************************************
[sftpadm@test_svr2:/sftpadm/upload]#

-> 공개키값을 사전에 교환했기 때문에 유저 계정인 자신에게서 자신으로 SSH접속 시 패스워드를 묻지 않는 것을 확인할 수 있습니다.

[root@test_svr1:/]# ssh sftpadm@10.50.1.152
Last login: Fri Jan 22 23:53:15 KST 2021 on /dev/pts/2
******************************************************************************
*                                                                            *
*                                                                            *
*  Welcome to AIX Version 7.1!                                               *
*                                                                            *
*                                                                            *
*  Please see the README file in /usr/lpp/bos for information pertinent to   *
*  this release of the AIX Operating System.                                 *
*                                                                            *							       											
*                                                                            *
******************************************************************************
[sftpadm@test_svr2:/home/sftpadmin]#

-> 다른 호스트인 test_svr1 공개키값을 사전에 교환했기 때문에 유저 계정인 자신에게서 자신으로 SSH접속 시 패스워드를 묻지 않는 것을 확인할 수 있습니다.

[sftpadm@test_svr2:/sftpadm/upload]#mkdir pinetree

[sftpadm@test_svr2:/sftpadm/upload]#ls -al | grep -i pinetree
drwxr-xr-x    2 sftpadm  staff           256 Jan 26 01:43 pinetree

-> sftp계정을 테스트 하기 전에 홈 디렉터리에 pinetree라는 디렉터리를 한 개 생성해줍니다.

[root@test_svr2:/]# vi /etc/ssh/sshd_config
# override default of no subsystems
#Subsystem      sftp    /usr/sbin/sftp-server
Subsystem sftp internal-sftp(추가)

# Example of overriding settings on a per-user basis

Match Group sftpGP(추가)
ChrootDirectory /sftpadm/upload(추가)
ForceCommand internal-sftp(추가)
AllowTcpForwarding no(추가)
X11Forwarding no(추가)

-> /etc/ssh/sshd_config의 경로에 (추가)항목들을 추가해줍니다. 설명은 sftpGP그룹 안에 /sftpadm/upload의 유저 홈 디렉터리를 root처럼 사용하겠다는 뜻입니다.

[root@test_svr2:/]# vi /etc/passwd
sftpadm:*:998:1::/sftpadm/upload:/usr/bin/false

-> ksh로 접속을 제한하기 위해서 /false로 변경을 해줍니다.

[root@test_svr2:/]# stopsrc -s sshd; startsrc -s sshd
0513-044 The sshd Subsystem was requested to stop.
0513-059 The sshd Subsystem has been started. Subsystem PID is 11665516.

-> sshd 데몬을 재기동 해줍니다.

[root@test_svr2:/]# su - sftpadm

[root@test_svr1:/]# ssh sftpadm@10.50.1.152
This service allows sftp connections only.
Connection to 10.50.1.152 closed.

-> sftpadm의 계정에 ksh 접속을 시도 시 반응이 없거나 SSH 접속 시에 접속이 불가능하다는 메시지를 호출해줍니다.

[root@test_svr1:/]# sftp sftpadm@10.50.1.152
Connected to 10.50.1.152.
sftp> pwd
Remote working directory: /
sftp> ls -al
drwxrwxr-x    6 0        999           256 Jan 26 01:43 .
drwxrwxr-x    6 0        999           256 Jan 26 01:43 ..
-rwxr-----    1 998      1             332 Jan 26 01:15 .profile
-rw-------    1 998      1            1250 Jan 26 01:43 .sh_history
drwx------    2 998      1             256 Jan 26 01:22 .ssh
drwxr-xr-x    2 998      1             256 Jan 26 01:43 pinetree

-> 공개키를 교환한 test_svr1에서 sftpadm에 sftp접속을 시도하게 되면 접속이 되는 것을 확인할 수 있습니다. 또한 chrootdirectory설정으로 인해 pwd의 명령어를 호출시 /sftpadm/upload의 부분이 /로 표시되어 root처럼 보여지게 됩니다. 그리고 사전에 pinetree 디렉토리를 생성했던 것이 보이는것도 확인 할 수 있습니다.

 

2021/01/25 - [System and Cloud/Unix] - AIX SFTP계정 생성하는 방법

IBM AIX SFTP계정 생성하는 방법

PS. 포스팅의 내용은 제 기준으로 작성한 것이기 때문에 참고해서 보시면 감사하겠습니다.

포스팅 과정의 오류 및 오타 그리고 궁금한 점에 대해서는 댓글 남겨주세요.