我在嵌入式 Linux 系统上安装了 dropbear,然后通过
dropbear -r rsa_host_key
一切都按预期进行,除了用户可以“爬出”他们的主目录,直到到达/
。啊!
我记得曾经在 ftp 服务器上看到过这种现象,但我一直没能找到解决办法。
有什么解决方案可以将它们保留在它们的主目录中?
答案1
这不算什么“现象”,这是正常现象。Linux 和大多数其他操作系统的设计方式,访问整个文件系统没有问题:只有少数文件包含私有数据,默认情况下这些文件受到限制。其余的 - 嗯,我认为能够浏览 /lib 或 /usr 不会有什么坏处... 此外,如果您被拒绝访问这些位置,您将无法运行任何程序。
(至于其他用户的文件 - 也可以用 锁定chmod
。)
在某些 FTP 服务器中,你可以选择启用chroot,这实质上改变了 / 以代表用户的主目录。也可以使用 SFTP 执行此操作,尽管我不确定 Dropbear 是否允许这样做(OpenSSH 允许)。但是当涉及到限制对 $HOME 的交互式 shell 访问时,它是... 好吧,我见过在 OpenBSD 上这样做,但它引起了很多问题。
答案2
您可以将 chroot 与 dropbear 一起使用: