Конфигурация: Debian Lenny Apache2
Я настроил SSH на "PermitRootLogin нет"и создали другого пользователя для входа в систему, и сделайте"вс".
Теперь я хочу подключиться, например, к Filezilla через SFTP. Я могу сделать это, создав пользователя, у которого есть доступ только к "/ var / www"(все мои веб-сайты расположены там, например"/var/www/domain.com")
Но разве это не разрушает идею использования "вс"? Конечно "вс"в этом случае обеспечит все остальное, кроме"/ var / www"не получит дополнительной защиты. Причина, по которой я создал"вс"установка в первую очередь была направлена на то, чтобы лучше защитить мои сайты.
Между прочим, я единственный, кто будет загружать материалы на сервер.
Что мне не хватает?
Чего вам не хватает, так это понимания того, что означает su при входе в систему через ssh и что означает передача файлов в зашифрованном виде. Вы путаете здесь несколько идей.
Вы поступили правильно, запретив вход в систему root через ssh. Это ограничит атаки методом грубой силы и убережет вас (так как вам нужно будет повысить свои привилегии с помощью sudo или su) от ненужных ошибок.
Доступ через sftp не дает вам тех же привилегий, что и su через ssh. Это гарантирует, что ваш пароль не будет отправлен в открытом виде и что передача ваших файлов будет безопасной.
Я собираюсь пойти на это и предложить вам поискать разрешения для файлов Linux (для пользователей и групп). Понимание этого поможет вам обезопасить свой веб-сервер и поможет понять, почему наличие пользователя, который может выполнять su, не означает, что ваш сервер по своей сути небезопасен.
Вот мой компендиум по оптимальной конфигурации как для клиентов, так и для серверов:
http://wiki.gilug.org/index.php/How_to_mount_SFTP_accesses
(особая забота о пользователях и разрешениях)
Вы могли бы использовать расширенные ACL чтобы разрешить только вашему пользователю доступ на запись в каталоги (с setfacl
). Это также имеет то преимущество, что в него легко добавлять будущих пользователей.
Или вы можете сделать каталог, принадлежащий вашей группе UID, а затем сделать его доступным для записи для группы, но я думаю, что это не такое чистое решение, как приведенное выше, и вы можете столкнуться с проблемами, если вашему веб-сайту потребуется написать к чему-либо как (предположительно) пользователю Apache.