我运行一个运行 Ubuntu Server 14.04 的小型服务器,刚刚注意到用户主目录中的 .ssh 文件夹可以通过 SMB 和 NFS 访问。
SMB 和 NFS 都是安全的,但是我认为这是服务器安全性的一个薄弱环节,因为我仅通过密钥认证限制对 SSH 的访问。
大家如何确保除通过 SSH 之外无法访问 .ssh 文件夹?
我一直在寻找,但找不到一个普遍接受的方法。我研究过限制和排除对 NFS 和 SMB 共享中某些文件夹的访问,但对我来说,这更像是一种变通方法,而不是具体的解决方案。
答案1
修改 Samba 和/或 NFS 并不是正确的解决方案。
而是使用/进一步将 ssh 访问权限限制为/etc/ssh/sshd_config那些应该有访问权限的用户。根据您的情况,您可能还对使用块感兴趣。AllowGroupsAllowUsersMatch
答案2
您将需要在设置中配置否决文件。
https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html#VETOFILES
最重要的是,您应确保这些目录的设置为 600 或更低。这样其他用户就无法执行。但如果只有一个用户访问自己的主目录,风险应该很小。将整个 /home/ 设为 smb 以供所有人访问是不明智的。