Предоставление доступа SSH к пользователю и проблем безопасности
Это не открытый исходный код, но является этим COTS.
Возможно, Вы пробуете IP, мог Контролировать?
Как обычный пользователь Ваш друг не сможет причинить слишком много вреда Вашему серверу (уверенный, что они могли метать икру от fork-бомбы или заполнить Ваш диск, но если бы они - действительно друг, они, вероятно, не вытянули бы перемещение dick как этот). Мои друзья получают фактические оболочки входа в систему на моей машине, если они просят учетную запись и строгую лекцию, что, если они делают что-нибудь, что бесит меня, они будут загружены от машины.
Это кажется, что Вы не доверяете своему "другу" очень, таким образом, в дополнение к ответу Грача я также скажу, что промежуточный компетентный человек со способностью выполнить Сценарий PHP может быть почти столь же опасным как пользователь с неограниченным (способным входом в систему) доступом SSH, и я предполагаю, что Ваш сервер позволяет PHP. Помните, что пользователь может выполнить недоверяемый код через PHP, до и включая загрузку, компиляцию и запущение других произвольных программ в Вашей системе (хотя в рамках ограничений полномочий пользователя веб-сервера). Вообще говоря, если Вы не chrooting/jailing Ваш веб-сервер ничто, что Ваш друг, возможно, видел со своей оболочкой входа в систему, он видит с некоторым not-terribly-creative PHP сценарии.
Нижняя строка: предоставление кому-то учетная запись в Вашей системе и затем блокировке, которой помогает их оболочка в/etc/passwd и установке SFTP chroot опция, но необходимо действительно рассмотреть последствия безопасности любого доступа и уровень доверия в этом человеке.
-
1He' s друг в способе, которым мы знаем друг друга через онлайн-сообщество и we' ve обменивался словами несколько раз. Причина, почему I' m предоставление ему рука - то, потому что его хост (общий сервер) завершил работу его сайта для осмотра через пределы, таким образом, я великодушно предложил размещать его сайт, свободный на моем VPS (приблизительно 100$ в месяц). Он - также уважаемый человек в сообществе это we' ре оба часть (he' s геймер - закончил 2-е место в событии WCG несколько лет назад). Here' s, что собирается в/etc/password для его учетной записи: AccountName:x:502:502::/home/AccountName:/bin/bash.. что точно я должен был бы изменить? – Kris Sauquillo 28 April 2010 в 23:24
Предоставление кому-то, доступ FTP является одной из худших вещей, которые можно сделать с точки зрения сетевой безопасности. Черви осуществят сниффинг сетевого трафика, ища ftp и будут использовать это для распространения. Я лично очистил несколько сайтов что, где заражено как это.
Можно отключить доступ оболочки к учетной записи пользователя в/etc/passwd, в этом случае ssh только используется для SFTP. Можно также установить ChrootDirectory в Вашем sshd_config файле для препятствования пользователю файлы доступа за пределами дерева каталогов по Вашему выбору. ChrootDirectory не должен быть необходимым, необходимо использовать Linux, создал в управлении доступом к файлу. Например, если файл не принадлежит пользователю, и глобальные полномочия были удалены затем, что пользователь будет не мочь получить доступ к файлу. Используйте chmod 700 вместо 777. Последнее число является глобальными полномочиями, и 7 предоставляет весь пользовательский полный доступ к тому файлу. chown user:group filename используется для изменения пользователя/группы, который владеет файлом.
SSH и FTP и т.д. ПОТРЕБУЙТЕ доступа к остальной части файлов, так как они выполняют команды от каталогов bin для списка файлов и т.д., Некоторые серверы FTP/SSH поддерживают chroot, чтобы обеспечить доступ только к правильным файлам или даже фальсифицировать доступ полностью.
Вы можете (и если) защищают Ваши корневые каталоги и блокируют вниз любые файлы веб-сайта просто пользователям, которым нужны они. Ваш сайт (сайты) должен, вероятно, быть заблокирован вниз к yourname:www-данным владения (в debian системах) или yourname:apache (в системах Redhat), пока его был бы заблокирован вниз к hisname:www-данным владения или hisname:apache (таким же образом). Домой и каталог Permissions веб-сайта должен затем быть o=rwx, g=rx, o =, файлы были бы тем же без x. Набор g+w и g+x по мере необходимости, чтобы конкретные веб-приложения обновили свои файлы. В частности, загрузке, временной, и каталоги кэша на сайтах, часто будут нужны g+w полномочия.
Выполненный человек chmod и человек, показанный на Вашем сервере и, читают, если Вы не уверены, что все это означает.
Кроме того, полагайте, что выполнение чего-то как plesk/webmin на Вашем сервере делает управление легче (не хороший, но возможно лучше, если Вы плохо знакомы со всем этим). Или, изучите другие опции торгового посредника, которые блокируют вещи вниз лучше, таким образом, Вы не имеете к.