我正在管理一台托管 OTRS 网络服务器的机器。它有一个普通用户“otrs”,它运行几个定期任务并保存(在“otrs”主目录中)服务运行所需的文件。然后是 Apache 用户,它运行使应用程序运行的网络服务器。“otrs”用户属于“apache”组,因此我可以在某些文件夹中向“apache”授予写入权限。
为了添加一些功能,我需要在“otrs”主目录中授予“apache”写入权限。但是,如果我这样做,ssh 将无法使用授权密钥进行连接,因为这存在安全风险。我尝试使用 ACL 在“otrs”主目录中授予“apache”写入权限,但不在 home/.ssh 中授予,但这样做不起作用。
那么,我该怎么办?我考虑过删除“otrs”用户并以“apache”身份执行所有操作,或者以“otrs”用户身份运行 Web 服务器守护程序,但我不知道如何执行这些操作,也不知道这些操作是否会带来一些问题...
您还有什么我还没想到的选择吗?
答案1
问题是,即使没有对 的写权限.ssh,具有对主目录的写权限的人也可以移动或取消链接.ssh,然后使用授权密钥引入自己的.ssh密钥以作为 otrs 登录。
一种解决方案是限制对 的某些子目录的写入权限~otrs。另一种方法是授予~otrs1775 的权限(t 位将阻止其他用户取消链接或重命名.ssh),然后将 中的 StrictModes 设置为 no /etc/ssh/sshd_config。这可能会使其他帐户(具有不正确的权限)受到攻击,但我认为这是一台专用机器,所以这应该不是问题。
答案2
“otrs”帐户基本上是一个服务或系统帐户。我认为解决此问题的最佳方法是不要使用该帐户通过 SSH 进行访问。为自己创建一个帐户,例如“juanma”或类似名称,并将 sudo suaccess 配置为“otrs”帐户。现在,您可以根据需要将用户更改为 otrs 帐户。