корни. Я использую сервер Ubuntu 9.04 (домашний) в своей локальной сети. В настоящее время я использую его для хранения небольших веб-приложений, фотографий, некоторых репозиториев подрывной деятельности и тому подобного. Мои (немногие) пользователи - мои друзья, и я всегда предоставлял им доступ по FTP к их домашнему каталогу. Недавно я понял, что FTP не так безопасен, поскольку пароли не маскируются при установке соединения и, следовательно, их легко перехватить.
Я решил решить эту проблему с помощью SFTP, но есть проблема, которая заставляет меня задуматься, и мне нужно ваше мнение по этому поводу.
При использовании SFTP доступ к файловой системе зависит от настроек SSH. Итак, чтобы заключить пользователей в их домашний каталог для SFTP, я тоже должен их заключать, когда они используют SSH, мой вопрос: желательна ли такая конфигурация? Это не ограничение обычных привилегий пользователя UNIX?
Есть вторичная проблема: есть ли простой способ сделать это в Ubuntu 9.04 Server?
Спасибо Томмазо
chroot пользователей, использующих ssh, не желаемая конфигурация в большинстве случаев. Когда они заключены в тюрьму в своем домашнем каталоге, они не смогут использовать никакие программы за пределами своего домашнего каталога. Это делает unix практически непригодным для использования в качестве сервера оболочки.
Вы можете использовать FTPS вместо SFTP / SCP, который будет отправлять пароли через SSL, но использует ssh-сервер, что позволяет вам chroot их для передачи файлов, но не для входа в систему (хотя мало что можно получить, если вы только chroot их передачи файлов и они по-прежнему смогут получать данные scp с машины).
Если у них уже есть свободный доступ к ssh, то от ограничения sftp ничего не получится, даже если бы вы могли это сделать.
Конечно, была веская причина для chroot ftp-сервера, но если у меня уже есть ssh-доступ ко всей машине, то для меня нет дополнительной угрозы безопасности, имеющей доступ sftp.
Я использую MySecureShell для ограничения SFTP-соединений для каждой учетной записи пользователя для наших ящиков Linux.
Вы должны заставить пользователей использовать sftp с rssh (ограниченная оболочка). Это в сочетании с другими обычными мерами безопасности (аутентификация на основе ключа), и вы будете достаточно защищены.