Назад | Перейти на главную страницу

Безопасный доступ по SFTP Дебиан Ленни

Конфигурация: Debian Lenny Apache2

Я настроил SSH на "PermitRootLogin нет"и создали другого пользователя для входа в систему, и сделайте"вс".

Теперь я хочу подключиться, например, к Filezilla через SFTP. Я могу сделать это, создав пользователя, у которого есть доступ только к "/ var / www"(все мои веб-сайты расположены там, например"/var/www/domain.com")

Но разве это не разрушает идею использования "вс"? Конечно "вс"в этом случае обеспечит все остальное, кроме"/ var / www"не получит дополнительной защиты. Причина, по которой я создал"вс"установка в первую очередь была направлена ​​на то, чтобы лучше защитить мои сайты.

Между прочим, я единственный, кто будет загружать материалы на сервер.

Что мне не хватает?

Чего вам не хватает, так это понимания того, что означает su при входе в систему через ssh и что означает передача файлов в зашифрованном виде. Вы путаете здесь несколько идей.

Вы поступили правильно, запретив вход в систему root через ssh. Это ограничит атаки методом грубой силы и убережет вас (так как вам нужно будет повысить свои привилегии с помощью sudo или su) от ненужных ошибок.

Доступ через sftp не дает вам тех же привилегий, что и su через ssh. Это гарантирует, что ваш пароль не будет отправлен в открытом виде и что передача ваших файлов будет безопасной.

Я собираюсь пойти на это и предложить вам поискать разрешения для файлов Linux (для пользователей и групп). Понимание этого поможет вам обезопасить свой веб-сервер и поможет понять, почему наличие пользователя, который может выполнять su, не означает, что ваш сервер по своей сути небезопасен.

Вот мой компендиум по оптимальной конфигурации как для клиентов, так и для серверов:

http://wiki.gilug.org/index.php/How_to_mount_SFTP_accesses

(особая забота о пользователях и разрешениях)

Вы могли бы использовать расширенные ACL чтобы разрешить только вашему пользователю доступ на запись в каталоги (с setfacl). Это также имеет то преимущество, что в него легко добавлять будущих пользователей.

Или вы можете сделать каталог, принадлежащий вашей группе UID, а затем сделать его доступным для записи для группы, но я думаю, что это не такое чистое решение, как приведенное выше, и вы можете столкнуться с проблемами, если вашему веб-сайту потребуется написать к чему-либо как (предположительно) пользователю Apache.