我有一台运行 Web 应用程序的生产服务器。现在我需要向开发人员授予 SSH 访问权限,以便他处理应用程序的文件。他已经拥有 chrooted sFTP 访问权限,但现在情况需要将此访问权限扩展到 SSH。
理想情况下,开发人员只能看到它的主目录(这不是绝对必要的)和应用程序的文档根目录(假设/var/www/html/app)。
有什么方法可以实现该结果吗?我考虑过 chrooted SSH,但配置起来相当麻烦(我需要创建一个bin目录并创建指向所有允许使用的二进制文件的链接)。rBash这不是解决方案,因为人们不知道cd这会带来什么不便。
我如何限制某个 UNIX 用户?
答案1
sudo mount --bind /var/www/html/app /home/user/folder
授予他在那里读写的权限。任务完成。
答案2
要限制 (Debian/Linux) OpenSSH 下的登录,请在 (登录服务器的)文件中禁用PasswordAuthentication和启用。然后,对于需要访问 shell 的用户,将其 OpenSSH 公钥放入其文件 (在登录服务器上)。注意公钥 (PubKeyAuthentication/etc/ssh/sshd_config~/.ssh/authorized_keys不是私钥!)以一行的形式插入到文件中。不应有换行符。有时在编辑时会发生这种情况,并且不会很明显。此外,请确保在登录服务器上nano设置了权限。主目录上的目录权限也很重要(在登录服务器上)。监视(或等效)与目录权限或其他相关的登录错误(在登录服务器上)。您可以通过将 中的 更改为 VERBOSE来获取更多信息。~/.ssh/authorized_keysuser:user_groupchmod 0600 ~/.ssh/authorized_keys/var/log/auth.logauth.logLogLevel/etc/ssh/sshd_config
另一种方法(或第二层安全措施)是使用(在登录服务器上)并定义谁可以从哪里以谁的身份登录。如果尚未启用,/etc/security/access.conf则需要启用才能实现此目的。pam_access