我在 Debian 上有一个名为“usera”的帐户。“usera”的主目录是 /home/whatever
当我使用“usera”及其凭据登录 WinSCP 时,我能够“上移”一个目录进入 /home,然后最终进入“/”。我专门创建了这个帐户来限制对此主目录的访问,因为凭据是共享的。
注意:此目录也用作 apache2 虚拟主机的 Web 根目录,但“usera”位于“www-data”组中,因此我认为 apache 与此问题无关。
有什么建议么?
答案1
默认情况下,/home 和 / 是所有人可读的,并且 sshd 的 scp 子系统不限制 chdirs,因此没有理由期望这会起作用。您需要通过某种方式强制用户使用受限环境。例如scp监狱。使用 scp jail 您将无法直接写入主目录,但您可以创建一个可写的子目录并让其他内容(例如 Web 根目录)指向该子目录而不是直接指向主目录。