我的网络中有一个本地 Debian 存储库服务器,我希望我的客户端通过 SSH 从该服务器升级、更新和安装软件包。
我配置了我的 sources.list,它看起来像这样:
deb ssh://root@local_repo/debian wheezy main
我还为其配置了公钥认证。
到目前为止,一切正常,但我想知道是否有可能使其更加坚固。
- 当客户端通过 SSH 连接时,将用户置于 chroot jail 中是一个好主意/最佳做法吗?
- 但由于用户是root,理论上他可以(轻松)越狱?
- 最后,使用 apt-get 需要以 root 身份使用,那么如何创建一个具有 root 权限但只能使用 apt-get 的用户?
我真的很困惑如何做到这一点,我在许多网站上阅读了很多资料但找不到一个好的方法。
答案1
你的问题围绕着用户但你需要记住二此处有问题的用户帐户。
为了实现您想要的效果,请将 apt 源设置为类似这样ssh://apt@local-repo/...- 您仍然以 root 身份在本地运行 apt-get/etc,但它们以非 root 用户身份连接到 repo 服务器,从而允许您实施您想要的任何规则。