Projem bazı kullanıcılar için sftp'yi devre dışı bırakmamı istiyor, ancak bu kullanıcıların yine de ssh üzerinden bağlanmaları gerekiyor. Bunu nasıl uygulayacağını bilen var mı?
Dosyayı değiştirmek için öneriler gördüm /etc/ssh/sshd_config, ancak ne değiştireceğimi bilmiyorum.
Yanıtlar:
Genel olarak bunu yapmak, başkalarının listelediği nedenlerden dolayı kötü güvenlik uygulamasıdır. Ancak, görevinizin amacı, çeşitli kriterlere göre koşullu yapılandırma bölümlerine sahip olabileceğinizi size öğretmektir.
Bunu yapmanın yolu bir Matchkoşullu blok kullanmaktır *.
Match User bob
Subsystem sftp /bin/false
Daha fazla bilgi ve eşleme sshd_config(5)için Matchbölümün altına bakın Group.
* Bunu yapmanın birden fazla yolu var.
Bu bir anlam ifade etmiyor, yararsız bir anlaşmazlık yoluyla güvenlik. SSH yapabilen herhangi bir kullanıcı, SSH oturumu aracılığıyla okuyabilecekleri herhangi bir dosyayı aktarabilir. Ayrıca, izinleriniz varsa, yazabilirsiniz.
Örneğin, aşağıdaki yöntemi kullanarak / etc / passwd dosyasını ssh üzerinden indirebilirsiniz (scp / sftp oturumu gerekmez): ssh foo@bar.com "cat / etc / passwd"> passwdcopy
SSH aracılığıyla ekranınızda görebiliyorsanız, kolayca bir dosya olarak kopyalayabilirsiniz.
Bunun mantıklı olmasının tek yolu, bir güvenlik politikasını uygulayan özel bir kısıtlanmış kabuğunuz varsa.
Bununla birlikte, bunun tersi anlamlıdır (ssh kabuğunu devre dışı bırakmak, ancak scp / sftp'yi etkin kılmak), sshp / scp aracılığıyla rasgele komutları çalıştıramazsınız.
Not: Verdiğiniz SSH kabuğunun rastgele çalıştırmaya izin veren standart bir kabuk olduğunu varsayıyorum. Durum böyle değilse, bkz: Belirli bir kullanıcı veya grup için sftp alt sistemi nasıl devre dışı bırakılır? ve sshd_config'in Subsystem yapılandırma seçeneğine bakın.
Match Group nosft
Subsystem sftp /bin/false
Bunun için bir grup kullanmayı tercih ederim.
Kısıtlı kabukları olan kullanıcılarla birlikte kullanışlıdır. Bazen bir istemci ssh erişim vermek, böylece kendi veritabanı dökümlerini bir komut dosyasına kabuklarını ayarlayarak kendi veritabanı sql-dökümü erişebilirsiniz. Bunları scp'den kesmek de akıllı bir fikir gibi görünüyor. catBir dosyayı ssh üzerinden aktarmak için çalışan erişimleri yoktur .
Directive 'Subsystem' is not allowed within a Match block
SFTP'yi global olarak etkinleştirmek ve SFTP'yi yalnızca bazı kullanıcılar için devre dışı bırakmak mümkündür.
Kullanıcınızın düzenli bir kabuk istemi almasını istiyorsanız bu çalışmaz. Kabuk erişiminiz varsa çoğu şeyi atlatabileceğiniz için de mantıklı değil. Yalnızca belirli bir programa erişim vermek istiyorsanız çalışır.
Şahsen buna ihtiyacım var çünkü SSH üzerinden bazı git depolarına erişim vermek istiyorum ve gerekli olmayan sistemleri devre dışı bırakmak istiyorum. Bu durumda SFTP'ye gerek yoktur.
Bir grup kullanıcıyı eşleştirmek için SSH'yi Matchanahtar kelimeyle yapılandırabilirsiniz . Gönderen sshd_config(5)manuel:
Match
...
The arguments to Match are one or more criteria-pattern pairs or the
single token All which matches all criteria. The available criteria
are User, Group, Host, LocalAddress, LocalPort, and Address. The
match patterns may consist of single entries or comma-separated
lists and may use the wildcard and negation operators described in
the PATTERNS section of ssh_config(5).
...
Birkaç örnek:
Match User eva "eva" kullanıcısıyla eşleşirMatch User stephen,maria "stephen" ve "maria" kullanıcılarıyla eşleşirMatch Group wheel,adams,simpsons "wheel", "adams", "simpsons" gruplarıyla eşleşirDaha fazla bilgi istiyorsanız, sshd_config(5)kılavuzda yükler vardır .
Normalde, SSH aracılığıyla bağlandığınızda kullanıcının oturum açma kabuğunu alırsınız, ancak SSH belirli bir komutu zorlayacak şekilde yapılandırılabilir. Komut, SFTP dahil olmak üzere herhangi bir SSH bağlantısı için zorlanır ve bu nedenle istediğiniz komutu zorlama seçeneğiniz olabilir.
Zorlama komutu ForceCommandanahtar sözcükle yapılandırılabilir . Gönderen
sshd_config(5)manuel:
ForceCommand
Forces the execution of the command specified by ForceCommand,
ignoring any command supplied by the client and ~/.ssh/rc if
present. The command is invoked by using the user's login shell
with the -c option. This applies to shell, command, or subsystem
execution. It is most useful inside a Match block. The command
originally supplied by the client is available in the
SSH_ORIGINAL_COMMAND environment variable. Specifying a command of
“internal-sftp” will force the use of an in-process sftp server that
requires no support files when used with ChrootDirectory. The
default is “none”.
Böylece kullanmak istediğiniz kısıtlanmış komutu zorlayabilirsiniz ForceCommand <your command>. Örneğin:
Match User kim
ForceCommand echo 'successful login man, congrats'
Git erişim izni vermek istediğim durumda, sadece kullanıcının erişimine ihtiyacım var git-shell. Bu, git kullanıcılarım için SFTP'yi ve bazı güvenlik seçeneklerini devre dışı bırakan bölümdür:
Match Group git
# have to do this instead of setting the login shell to `git-shell`,
# to disable SFTP
ForceCommand /usr/bin/git-shell -c "$SSH_ORIGINAL_COMMAND"
# disable stuff we don't need
AllowAgentForwarding no
AllowTcpForwarding no
AllowStreamLocalForwarding no
PermitOpen none
PermitTunnel no
PermitTTY no
X11Forwarding no
Tersini yapmak için scponly'ye bakabilir, sadece scp / sftp'ye izin verebilir, ancak kabuk erişimine izin veremezsiniz.
Yukarıdaki @Nathan ile aynı fikirdeyim, bu pek mantıklı değil. Ölü kümeniz varsa, / etc / ssh / sshd_config dosyanızı düzenlemeyi ve aşağıdaki satırı kaldırmayı / yorumlamayı deneyin:
Alt sistem sftp / usr / libexec / openssh / sftp-server
kullanıcı için giriş dizini vermeyin
usermod username -d /bin/false
/ Etc / ssh / sshd_config dosyasında Subsystem sftp / usr / libexec / openssh / sftp-server'ı Subsystem sftp / dev / null / usr / libexec / openssh / sftp-server olarak değiştirin
Sonra ssh'yi yeniden başlatın
service ssh restart
benim için çalışıyor, debian.
ownergiden erişim modülü . Bu, kırmızı takım tarafından kalem testi yapılacağını varsayar. Sisteminize erişen herkes her zaman kurallara uyuyor ve asla kötü niyetli olmuyorsa, yaklaşımım ağır ve aşırı karmaşık olurdu.