根。我在局域网上运行 Ubuntu 9.04(家庭)服务器。我目前用它来存储小型网络应用程序、照片、一些 subversion 存储库和类似的东西。我的(少数)用户是我的朋友,我总是为他们提供对他们主目录的受限制的 FTP 访问权限。现在,我最近意识到 FTP 并不那么安全,因为建立连接时密码没有被屏蔽,因此很容易被嗅探。
我决定使用 SFTP 来解决这个问题,但有一个问题让我一直疑惑,我需要您的意见。
使用 SFTP 时,文件系统的访问取决于 SSH 设置。因此,为了将用户限制在其 SFTP 主目录中,当他们使用 SSH 时,我也必须限制他们,我的问题是:这是理想的配置吗?这不是对 UNIX 用户常识权限的限制吗?
还有一个次要问题是:在 Ubuntu 9.04 Server 下有没有直接的方法来实现这一点?
谢谢你,托马索
答案1
使用 ssh chrooting 用户是不是在大多数情况下,这是一种理想的配置。当他们被限制在主目录中时,他们将无法使用主目录之外的任何程序。这使得 unix 几乎无法用作 shell 服务器。
您可以使用 FTPS 而不是 SFTP/SCP,它将通过 SSL 发送密码,但使用 ssh 服务器,允许您 chroot 它们进行文件传输,但不能用于登录(尽管如果您仅 chroot 它们的文件传输则收获不大,并且它们仍然能够从机器中 scp 数据)。
答案2
如果他们已经拥有未被限制的 ssh 访问权限,那么即使你可以限制 sftp 也没有任何好处。
当然,chroot ftp 服务器是有充分理由的,但是如果我已经拥有对整个机器的 ssh 访问权限,那么拥有 sftp 访问权限不会给我带来任何额外的安全风险。
答案3
你应该强制用户使用 sftprssh(受限 shell)。这与其他常规安全步骤(基于密钥的身份验证)相结合,您将相当安全。
答案4
我使用 MySecureShell 来限制我们的 Linux 系统上每个用户账户的 SFTP 连接。