Назад | Перейти на главную страницу

ssh, authorized_keys и разрешение на запись группы

Я управляю одной машиной, на которой размещен веб-сервер OTRS. У него есть обычный пользователь, «otrs», который выполняет несколько периодических задач и хранит (в «доме otrs») файлы, необходимые для работы службы. А еще есть пользователь Apache, который запускает веб-сервер, который заставляет приложение работать. Пользователь 'otrs' находится в группе 'apache', поэтому я могу предоставить права записи для 'apache' в некоторых папках.

Чтобы добавить некоторые функции, мне нужно предоставить права записи apache в домашний каталог otrs. Но если я это сделаю, ssh не будет подключаться к авторизованным ключам, потому что это угроза безопасности. Я пробовал использовать ACL, чтобы предоставить права записи apache для дома «otrs», но не в home / .ssh, но это не сработает.

Так что я могу сделать? Я думал об удалении пользователя 'otrs' и делать все как 'apache' или запустить демон веб-сервера как пользователь 'otrs', но я не знаю, как это сделать, и могут ли они нести некоторые проблемы ...

Есть ли у вас вариант, о котором я не думал?

Проблема в том, что даже без разрешения на запись в .ssh, кто-то с разрешениями на запись в домашний каталог может переместить или отменить связь .ssh, а затем представить свои .ssh с авторизованными ключами для входа в систему как otrs.

Одним из решений было бы ограничить права на запись в некоторый подкаталог ~otrs. Еще один - дать ~otrs разрешения 1775 (t-бит не позволит другим пользователям отключать или переименовывать .ssh), затем установите для StrictModes значение no в /etc/ssh/sshd_config. Это может открыть другие учетные записи (с неправильными разрешениями) для атак, но я предполагаю, что это выделенная машина, так что это не должно быть проблемой.

Учетная запись otrs - это в основном служебная или системная учетная запись. На мой взгляд, лучший способ решить эту проблему - не использовать учетную запись для доступа по SSH. Создайте для себя учетную запись «juanma» или около того и настройте sudo suaccess для учетной записи «otrs». Теперь при необходимости вы можете сменить пользователя на учетную запись otrs.