Soru SFTP'ye izin ver ama SSH'ye izin verme


Birkaç arkadaş ve küçük müşteriler için çok az bir hosting şirketi kurmaya başladım, büyük bir şey değil.

"İstemcilere" dosyalarını sunucuda yönetme hakkı vermek istiyorum. FTP'den nefret etmiyorum çünkü güvenli değil ve benim düşüncemde eski.

Bu yüzden kullanıcılarımızın SFTP üzerinden bağlanmasına izin vermek istiyorum ancak SSH üzerinden bağlantı kurmasına izin vermem. (Biliyorum, biliyorum, SFTP SSH kullanıyor). Ama sadece merak ediyordum, bu mümkün mü?

Bu yüzden sunucuya bir FTP servisi yüklemem ve her şey harika olurdu!


88
2018-01-28 20:40


Menşei




Cevaplar:


Sürüm 4.9 ile başlıyor OpenSSH (chron 5.x değil ama ChrootDirectory özelliğinde geri döndü) bir internal-sftp alt sistemi:

Subsystem sftp internal-sftp

Ve sonra diğer kullanımları engelleyin:

Match group sftponly
     ChrootDirectory /home/%u
     X11Forwarding no
     AllowTcpForwarding no
     ForceCommand internal-sftp

Kullanıcılarınızı ekleyin sftponly grubudur. Kullanıcının ev adresini değiştirmek zorundasın. / chroot ve /home/user sahiplenilmeli root. Ben de ayarladım /bin/false kullanıcının kabuğu olarak.


114
2018-01-28 20:46



Vaov! Süper harika! Bunu test edip doğrulamak için buraya döneceğim. Çok teşekkürler! - TomShreds
ChrootDirectory olayı için +1! - Kyle Hodgson
Bunu yaptıktan sonra, sftponly kullanıcısı ssh ile erişemiyor ve sftp ile bağlanabiliyor. Ancak hiç bir dosyayı göremez! Buna rağmen, bu dosyaların bu kullanıcı için izni var. :-( - Emilio Nicolás
Bunu yapmak ve zaten mevcut olan "/ usr / lib / openssh / sftp-server" ile sshd_config dosyasında bir giriş bulmak istiyorsanız, buraya bakın: serverfault.com/questions/660160/...  - iç sftp "daha yeni, daha iyi ve daha kolay" - Xosofox


Bir kabuk var scponly bu ne? Yapabilir chroot çok.


19
2018-01-28 21:11



Hem SFTP kullanıcılarına hem de SSH kullanıcılarına ihtiyacınız varsa bu harika olur. Yalnızca SFTP'ye kısıtlanmış olanlar için / etc / passwd dosyasındaki kabuğu değiştirin. - Dragos


Sftp izin verir ama ssh engeller sahte bir kabuk olan rssh

RSSH hakkında daha fazla bilgi

http://www.pizzashack.org/rssh/

RPM

http://pkgs.repoforge.org/rssh/

Rssh'ı sft, scp vb. Gibi farklı davranışlara izin vermek / engellemek için yapılandırabilirsiniz.


4
2018-02-02 13:15



Güzel. Bu, sshd_config öğesine dokunmadan yapılandırmanın en kolay yoludur. Sadece kabuk dosyasını passwd dosyasında değiştirin ve tamamlayın. - Tomofumi


/ Etc / passwd dosyasını değiştirebilir ve bu kullanıcıya ssh kullanamayacağı şekilde sahte bir kabuk verebilirsin.


2
2018-01-28 20:46



Bunu test ettin mi? - splattne
Kabuğa ayarlamayı denediğimde /bin/false ne de ssh veya sftp işleri - Brad Mace
/ bin / false herhangi bir tür girişe izin vermez, bu doğru bir yaklaşım değildir. Rob Wouters'in kabul ettiği cevap, kullanıcıları kabuk değiştirerek değil, sadece SFTP'ye nasıl sınırlamanız gerektiğidir. Eğer kabuğunu değiştirmek istiyorsanız, Stone'un asnwer'ı iyi bir fikir olur. - jwbensley
bu yüzden NEAT kabuk kullanılmalı / bin / bash kabul edilemez ve / bin / false veya / sbin / nologin erişimi reddedebilir mi? - Putnik


Kullanıcı kabuğunu belirtildiği gibi / bin / false olarak belirtme yöntemini kullanıyorum. Bununla birlikte, / bin / shell'in / etc / shells içerdiğinden emin olmalısınız. Sonra çalışır ssh = hayır ftp = tamam.

Ben de vsftpd kullanıyorum ve bunu ekle
chroot_local_user = EVET için /etc/vsftpd/vsftpd.conf böylece ftp-ers kendi tarihlerini göremez.

Bu basit değişikliklerin avantajı, her kullanıcı için ssh yapılandırmasına sinir bozucu bir yapılandırma değildir.


1
2017-09-23 17:09





Çizgiyi bulmayı unutma UsePAM yes ve yorumlayın:

#UsePAM yes

Bunu devre dışı bırakmadan, SSH sunucunuz yeniden yükleme / yeniden başlatma işleminde çökebilir. PAM'ın süslü işlevlerine ihtiyacınız olmadığından, bu iyidir.


1
2018-01-25 22:02





Bazı kullanıcılar için sadece sftp'yi etkinleştirmek üzere ssh'i yapılandırmak iyi bir fikirdir ve eğer isterseniz scponly veya rssh.

rssh hapishane yapılandırmak gerekmediği sürece, iyi çalışıyor, bu durumda CHROOT kılavuzları tarafından sağlanan talimatı takip etmeye çalışın, manüel, "her kullanıcı hapishanesinin" hemen altında, sistem çalıştırılabilir ve kütüphanesinin büyük bölümlerini "kopyalamak" için önde gelen rssh kabuğun kendisi. Bu bir uzay kaybı yöntemidir.

scponly Hapishane kurulumunda şimdiye kadar mevcut giriş reddetme problemine yol açan konfigürasyonda derin bir anlayışa ihtiyaç duyuyor.

Güvenli çalışma ve güvenli giriş için SSL / TLS desteği, "ftp" işlevlerinin düzgün çalışmasına izin vermenin kolay yolu, hızlı ve temiz bir şekilde kurulabilen ve tüm yapılandırılabilirliği ihtiyaç duyulan şekilde sunan ve "eski çalışan" bir VSFTPD kullanmaktır. ama en az değil: işe yarıyor!

Maurizio.


0
2018-04-23 12:47