У нас есть требование экспортировать журналы с нескольких устройств. (Собственно DNS-серверы Infoblox). Устройства можно настроить для экспорта с помощью scp (но только с использованием пароля).
Таким образом, у нас нет альтернативы хранению паролей в конфигурациях устройства. Чтобы снизить риск этого, я настроил учетную запись загрузки на сервере ubuntu и заблокировал ее, используя только rssh для scp. Я установил umask только на запись и отказал в доступе на чтение к каталогу для учетной записи загрузки.
Это прекрасно работает - можно загружать файлы, но не копировать их снова. Я не вижу, как это сделать, так это запретить этой учетной записи доступ к любому доступному для чтения файлу в системе без использования chroot - у которого есть свои проблемы!
Подозреваю, что выхода нет, но думал, что спрошу.
Из-за отсутствия ответа я прихожу к выводу, что нет очевидного способа защитить учетную запись от кого-то, кто знает учетные данные учетной записи, без rssh, имеющего setuid root, чтобы он мог chroot в домашний каталог.
Если бы кто-то сделал это, то есть риск того, что в rssh могут быть неоткрытые ошибки, которые можно использовать, чтобы позволить злоумышленнику вырваться из chroot-тюрьмы и захватить хост.
В моем случае я разрешаю только scp, поэтому (насколько я понимаю) злоумышленник не имеет прямого способа взаимодействия с rssh. Если в реализации ssh есть ошибки, тогда у всех нас будут гораздо большие проблемы!