Назад | Перейти на главную страницу

Ограничение доступа оболочки SSH к серверу Debian

Все еще новичок во всем Debian, так что несите меня.

Единственное, что хочу, чтобы пользователь авторизовался по SSH. В этот момент не должны быть видны никакие файлы или каталоги (например, / etc, / var).

Единственное, что может сделать пользователь, - это ввести «su» для входа в систему с правами root и затем приступить к администрированию системы.

Это сделано для повышения безопасности. Каждая капля помогает, правда?

По-видимому, chroot не так безопасен (видел здесь ответ, который сказал. Кажется, не могу найти ссылку).

Если вы действительно хотите ограничить доступ, я бы предложил использовать sudo и включить только те команды, которые необходимы этому пользователю для администрирования выбранных вами приложений.

Единственное, что может сделать пользователь, - это ввести «su» для входа в систему root и затем администрировать систему.

Это сделано для повышения безопасности. Каждая капля помогает, правда?

неправильно.

если вы хотите, чтобы root мог входить в систему, вы должны просто разрешить root входить в систему.

вход в систему как пользователь, а затем выполнение su, чтобы стать пользователем root - очень сложный и менее безопасный способ сделать это:

  • В основном что угодно может потерпеть неудачу, поэтому вы просите пользователя сделать больше шагов, больше шансов, что один шаг пойдет не так (со словом «неправильно» я имею в виду, что вы сделали что-то неправильно, и кто-то взломал ваш сервер)
  • вы будете вынуждены вводить пароль root, в то время как гораздо более безопасным можно считать использование ключей ssh ​​для входа без необходимости вводить какой-либо пароль. Или использовать ssh-ключи и вводить их парольную фразу для дополнительной безопасности.

если вы действительно не знаете, чего хотите, лучше не усложнять и использовать стандартные программы, написанные людьми, которые действительно знают, что делают. Понятно, что вы не эксперт по безопасности, поэтому считайте, что все, что вы могли придумать, уже было сделано кем-то, кто является экспертом, или было отброшено как бесполезное, или им никогда не приходило в голову, поскольку это просто не имеет смысла.

вы, вероятно, захотите узнать, как использовать ssh-keygen и как настроить sshd_config.

Ты можешь использовать ForceCommand чтобы не предоставлять пользователю доступ к оболочке.

 ForceCommand
         Forces the execution of the command specified by ForceCommand,
         ignoring any command supplied by the client and ~/.ssh/rc if pre-
         sent.  The command is invoked by using the user's login shell
         with the -c option.  This applies to shell, command, or subsystem
         execution.  It is most useful inside a Match block.  The command
         originally supplied by the client is available in the
         SSH_ORIGINAL_COMMAND environment variable.  Specifying a command
         of ``internal-sftp'' will force the use of an in-process sftp
         server that requires no support files when used with
         ChrootDirectory.