我在考虑安全性,我已经完成了rsync
在互联网上运行的特定设置,并且正在考虑安全性,这是设置:
bash
目标服务器仅具有一个具有和的 SSH 监狱用户rsync
,以及一个名为 的包含文件的挂载文件夹files
,仅此而已。源服务器运行:
rsync [params] /source -e "ssh -p [port]" destjaileduser@destinationserver:/files/
如果有人发现了被监禁用户的密码,他们只能运行rsync
,而不能做其他事情(rsync
远程同步需要,不能删除)。
问题是:由于权限受限,被监禁的用户是否有可能逃出监狱并以任何方式访问系统?如果可以,可以采取什么措施来阻止这种情况发生?
我认为用户唯一能做的就是将某个程序放入rsync
源代码中并运行,rsync
然后将其发送到服务器,但用户能做什么呢?因为他被关在监狱里,看不到真正的系统。如果文件受到勒索软件的影响或被清除,没问题,它们有加密功能,并被复制到被关在监狱的用户看不到的另一个地方。
我做的对吗?
答案1
你的防御方法应该侧重于对服务器的远程访问,
所需的守护程序应该是最新的
,不需要的守护程序不应该安装
您可以使用iptables
、身份验证密钥以及 2FA 身份验证来保护 ssh。请参阅本文:https://devops.ionos.com/tutorials/secure-the-ssh-server-on-ubuntu/
您还可以实现该程序,这是一种从登录尝试中fail2ban
动态地向网络过滤器提供信息的有效方法。iptables
https://help.ubuntu.com/community/Fail2ban