позвольте ssh считать только доступ определенными каталогами
Если бы этот сервис работал прежде, то это мог бы быть сетевой неустойчивый отказ.
На работе это помогает нам обнаружить некоторую ошибочную проблему доступа к нашему удаленному центру обработки данных.
Chroot был уже упомянут. Но теперь ssh встроили его для передач sftp. Можно отключить доступ оболочки все вместе и использовать конфигурацию, подобную этому.
Локальное корневое использование всегда является проблемой для дистрибутивов существует только несколько вещей, которые можно легко сделать.
- Отключите корневые логины и используйте sudo.
- Отключите аутентификацию по паролю по ssh (используйте ssh ключи с паролями).
- Сделайте корневые каталоги не доступными для просмотра.
- Не выделяйте учетные записи с доступом через оболочку, если можно помочь ему.
Я беру это шаг вперед, и я выполняю ssh на случайном высоком порте, чтобы мешать находить. Больше конкретный затем это и мы должны будем знать что распределение Ваше использование.
-
1Хорошее описание. Я был занят на работе, когда я отправил, но хотел указать на OP в правильном направлении. – David Rickman 17 April 2010 в 04:16
Просто несколько идей. Можно создать учетные записи для использования ограниченной оболочки, например. /bin/rbash. Кроме того, можно попробовать, должен добавить a command=/bin/rbash опция в authorized_keys файл.
Но все это просто идея. Как обычно, безопасность является процессом...