如果您有一个 ssh 帐户,而黑客可以获取您的帐户,那么黑客几乎可以在您的服务器上做任何事情。是否可以限制 ssh 帐户仅以有限的权限访问某些特定目录?
答案1
之前已经提到过 Chroot。但现在 ssh 已内置了 sftp 传输。您可以完全禁用 shell 访问并使用配置类似于这个。
本地根漏洞对于发行版来说始终是一个问题,你只能轻松完成一些事情。
- 禁用 root 登录并使用 sudo。
- 禁用通过 ssh 进行密码验证(使用带有密码的 ssh 密钥)。
- 使主目录不可浏览。
- 如果可以的话,请不要泄露空壳账户。
我更进一步,在随机高端口上运行 ssh,使其更难被发现。如果再具体一点,我们需要知道您使用的是什么发行版。
答案2
chroot 是你最好的选择。
答案3
这只是几个想法。您可以设置帐户以使用受限 shell,例如。或者,您可以尝试向 authorized_keys 文件/bin/rbash
添加一个选项。command=/bin/rbash
但这些都只是想法而已。安全通常是一个过程……
答案4
我强烈建议您转而使用密钥对(使用密码短语添加另一个因素)进行 SSH 身份验证。我的 /var/log/auth.log 现在非常安静。