我想在设备上创建一个 ci 用户,以允许管道仅将文件放入单个目录中。
我使用以下命令创建了一个用户:
useradd -M -N -r -s /bin/false devops
chown -R devops /var/file-drop/
为了进行身份验证,我的中包含以下行sshd_config
TrustedUserCAKeys /etc/ssh/my-org.root.pub
AuthorizedPrincipalsFile /etc/ssh/authorized_principals/%u
并在authorized_principals目录中添加了一个名为devops内容的文件。devops
我的问题是:排除任何 0day 漏洞等,上述设置是否真正实现了我的目标,即允许具有该主体的用户只能访问将文件放入/var/file-drop?或者我这样做是否无意中打开了其他攻击面?
答案1
您可以使用 chroot 将用户“锁定”到目录
Match User devops
ChrootDirectory /var/file-drop/