我想使用运行 LEDE 17.01.4 的路由器 (TP-Link WDR3600) 作为 SFTP 服务器来存储我用 创建的备份borg。我已经知道如何执行备份和设置 USB 驱动器,但我不知道如何正确设置 SFTP 服务器部分以确保安全性和可维护性,例如:
- 我必须创建一个专用用户吗?
- 如果是这样,如何限制该备份用户的权限,以便其不能窥视文件系统中的敏感文件?
我基本上是在寻找运行合理 SFTP 服务器的最佳实践,但使用嵌入式系统的有限环境。如果可能的话,我宁愿不使用它,openssh因为它没有集成在 UCI 系统中。
我的问题可能太广泛,如果是这种情况,请告诉我。
答案1
我必须创建一个专用用户吗?
是的。 创建非特权用户命名borg。以下是OpenWrt文档的摘录:
然后这样做,因为您想使用包含的dropbear而不是openssh-server:
它的工作方式:任何可以使用 SSH 的帐户都可以使用 SFTP,并且一旦您在本地系统上创建帐户并选择性地设置密钥,您就可以立即使用 SFTP。
如果是这样,如何限制该备份用户的权限,以便其不能窥视文件系统中的敏感文件?
非 root 用户无法在其主目录之外执行许多未设置开放权限的操作。
为了防止其他非 root 用户修改borg-owned 文件,请使用borg的umask选项并将其值设为-。这样,除了或027之外,任何人都无法访问任何新文件。rootborg