执行“chroot”SFTP 目录而不实际将所有者设置为 root 是否安全?

执行“chroot”SFTP 目录而不实际将所有者设置为 root 是否安全?

我不知道这听起来是否错误,但我有一个用例,我需要运行一个 cron 作业并将数据 rsync 到 SFTP 文件目录中。

一般在网络上架设的SFTP都会建议将文件目录的权限设为 本人所有root:SFTP_USER_GROUP

在我的例子中,我限制所有用户为SFTP_USER_GROUP只读(通过删除位w)。但由于我需要将数据 rsync 到 SFTP 文件目录,因此我唯一能做到这一点的方法就是以 root 身份。但我不想以 root 身份运行 cron 作业 - 这听起来真的很危险。

所以我的问题是是否可以将权限“chroott”为SFTP_USER:SFTP_READ_ONLY_GROUP,以便我可以以身份执行 cron 作业SFTP_USER

答案1

我的第一个想法是使用我信任的 POSIX ACL:。setfacl -m u:someone:rwx /home/user但是,您可能还需要考虑在chrooted 目录中创建一个子目录来放置文件;这将消除 SSH 对路径施加的严格“仅限 root”要求chroot

相关内容