Мой проект требует, чтобы я отключил sftp для некоторых пользователей, но эти пользователи все равно должны подключаться через ssh. Кто-нибудь знает, как это реализовать?
Я видел предложения по изменению файла в /etc/ssh/sshd_config
, но я не уверен, что изменить.
owner
для исходящего доступа. Это предполагает, что вы пройдете тестирование пера красной командой. Если каждый, кто получает доступ к вашей системе, всегда подчиняется правилам и никогда не имеет злонамеренных намерений, тогда мой подход будет жестким и чрезмерно сложным.Ответы:
В целом, это плохая практика безопасности по причинам, перечисленным другими. Однако смысл вашего задания, я думаю, состоит в том, чтобы научить вас тому, что вы можете иметь условные разделы конфигурации на основе различных критериев.
Способ сделать это - использовать
Match
условный блок *.Смотрите
sshd_config(5)
вMatch
разделе для получения дополнительной информации и соответствия наGroup
.* Есть несколько способов сделать это.
источник
Это не имеет никакого смысла, это безопасность через бесполезную неизвестность. Любой пользователь, который может использовать SSH, сможет передать любой файл, который он сможет прочитать через сеанс SSH. Вы также сможете писать, если у вас есть для этого разрешения.
Например, вы можете скачать / etc / passwd через ssh следующим способом (сеанс scp / sftp не требуется): ssh foo@bar.com "cat / etc / passwd"> passwdcopy
Если вы можете видеть его на своем экране через SSH, то вы можете легко скопировать его в виде файла.
Это может иметь смысл только в том случае, если у вас есть настраиваемая оболочка с ограничениями, которая применяет политику безопасности.
Однако обратное этому имеет смысл (отключение оболочки ssh, но без включения scp / sftp), потому что вы не можете выполнять произвольные команды через sftp / scp, которые вы можете через оболочку ssh.
PS: я предполагаю, что оболочка SSH, которую вы предоставляете, является стандартной оболочкой, которая допускает произвольное выполнение. Если это не так, то посмотрите следующее: Как отключить подсистему sftp для конкретного пользователя или группы? и посмотрите на параметр конфигурации подсистемы sshd_config.
источник
Я предпочитаю использовать группу для этого.
Это полезно в сочетании с пользователями, которые имеют ограниченные оболочки. Иногда я предоставляю ssh доступ к клиенту, чтобы он мог получить доступ к sql-дампу своей базы данных, установив в своей оболочке скрипт, который выводит свои данные. Отрезать их от scp также кажется разумной идеей. У них нет доступа к запуску
cat
для передачи файла через ssh.источник
Directive 'Subsystem' is not allowed within a Match block
Можно включить SFTP глобально и отключить SFTP только для некоторых пользователей.
Это не работает, если вы хотите, чтобы ваш пользователь получал обычную подсказку оболочки. Это также не имеет смысла, так как вы можете обойти большинство вещей, если у вас есть доступ к оболочке. Это будет работать, только если вы хотите предоставить доступ к определенной программе.
Лично мне это нужно, потому что я хочу предоставить доступ к некоторым git-репозиториям через SSH, и мне нравится отключать ненужные системы. В этом случае SFTP не нужен.
согласование
Чтобы соответствовать группе пользователей, вы можете настроить SSH с
Match
ключевым словом. Изsshd_config(5)
руководства:Пара примеров:
Match User eva
соответствует пользователю "eva"Match User stephen,maria
соответствует пользователям "Стивен" и "Мария"Match Group wheel,adams,simpsons
соответствует группам "колесо", "адамс", "симпсоны"Если вы хотите получить больше информации, в
sshd_config(5)
руководстве есть грузы .Принудительная команда
Обычно вы получаете пользовательскую оболочку входа в систему при подключении через SSH, но SSH может быть настроен на принудительное выполнение определенной команды. Команда принудительна для любого соединения SSH, включая SFTP, и, таким образом, у вас может быть возможность принудительно ввести нужную команду.
Команду force можно настроить с помощью
ForceCommand
ключевого слова. Изsshd_config(5)
руководства:Таким образом, вы можете использовать ограниченную команду, которую хотите использовать
ForceCommand <your command>
. Например:пример
В моем случае, когда я хочу дать доступ к git, мне нужен только доступ к пользователю
git-shell
. Это раздел, который отключает SFTP для моих пользователей git, а также некоторые параметры безопасности:источник
Протестировано и работает на CentOS 6.6. Обратите внимание, что подсистема не допускается с Match, по крайней мере, в новых версиях CentOS. На странице man для sshd_config перечислены ограниченные ключевые слова, которые допускаются при условии соответствия.
источник
Вы можете посмотреть на scponly, чтобы сделать обратное, разрешить только scp / sftp, но не иметь доступа к оболочке.
Я согласен с @Nathan выше, это не имеет большого смысла. Если вы не уверены, попробуйте отредактировать файл / etc / ssh / sshd_config и удалить / закомментировать следующую строку:
Подсистема sftp / usr / libexec / openssh / sftp-server
источник
не давать домашний каталог для пользователя
Измените Подсистему sftp / usr / libexec / openssh / sftp-server в файле / etc / ssh / sshd_config на Подсистему sftp / dev / null / usr / libexec / openssh / sftp-server
Затем перезапустите SSH
это работает для меня, Debian.
источник
В
~/authorized_key
настройке пользовательского ключа выполните следующие действия:источник