作为常规 debian 管理员,我面临着一个复杂的情况,我很感谢您的建议......
我有一台带有 chroot 环境的服务器,到目前为止运行良好: Chroot 用户:store chroot 路径:/home/store 在这个 chroot 环境中,我拥有 chroot 工作所需的所有文件(lib、bin、usr 等)。在这个 chroot 上,我有几个工作正常的被监禁的 FTP / FTP(显式)账户。每个被监禁的 ftp 位于:/home/store/home/store/partners/xxxxxx(其中 xxxx 是合作伙伴的名称)在每个被监禁的 FTP 中,我都有两个文件夹:数据(可以列出)和照片(不可列出)。照片是 chroot 环境内为每个合作伙伴从 fstab 挂载的唯一目录,允许每个合作伙伴在 FTP 中执行 RETR 命令。
问题是:我有一个合作伙伴,出于安全原因,他必须访问 sFTP(通过 SSH 的 FTP)中的数据。为了解决这个问题,我将一个新用户(假设为 ALDA)chroot 到 /home/store/home/store/partners/ALDA,并安装所有必要的文件以工作(bin、etc、lib)。用户确实可以在 sFTP 中访问其 chroot 内容,但他可以访问 chroot 所需的所有 bin/lib/etc/ 文件夹,而我设法将其隐藏在 FTP 中。幸运的是,写入限制正在起作用,用户无法对文件或目录进行任何修改,但用户可以列出/检索所有内容...
第一个问题:如何限制对 DATA 和 PHOTOS 文件夹之外的所有 chroot 环境文件的访问/可见性。第二个问题:在 sFTP 中,用户可以列出所有已安装的照片目录并解析内容...我怎样才能完全阻止此特定文件夹的所有列表,但在给出精确路径时允许所有“获取”命令...
感谢您宝贵的时间和建议。
特发性
答案1
您说的是 sftp 还是 ftp over ssh (根据维基百科“FTP over SSH(不是 SFTP)是指通过 SSH 连接隧道传输正常 FTP 会话的做法”)?
使用 sftp,您不再需要传统的 unix chroot,因为 sshd 现在可以处理它。
问题 1 的答案就是删除这些文件。
问题 2 的答案:在照片目录中 Chroot 用户(也许您需要 2 个用户:1 个用于 sftp,第二个用于其他需求)。