Я повторил бы Paul Randal, что нет очень, который не документируется. Проблема прочитывает безбожные количества документации. Я резюмировал самое важное (все же not-so-obvious) в моем Контрольном списке Установки SQL Server:
http://www.brentozar.com/archive/2008/03/sql-server-2005-setup-checklist-part-1-before-the-install/
Некоторые примеры включают:
Если Вы используете OpenSSH 5.1, или позже затем он поддерживает отрицание Match Group.
Принятие значений по умолчанию хорошо для группы admin, затем просто изменяет всех остальных:
Match Group *,!admin
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
Нет действительно никакой причины полагаться на сторонние оболочки, чтобы сделать этот вид задания с недавними выпусками OpenSSH.
Я использую MySecureShell для ограничения пользователей SFTP только соединения. Я делаю это для определенных пользователей, но я уверен, что можно настроить его для ограничения по умолчанию, таким образом, освобождение состояло бы в том, чтобы Вы предоставили доступ оболочки также.
То, что Вы хотите, является scponly. При выполнении Debian/Ubuntu, это находится в repos. После того, как установленный, Вы просто делаете следующее:
$ sudo chsh -s /usr/bin/scponly username
Это также разрешает Вам chroot пользователей.
Кроме того, можно сделать следующее:
$ usermod -s /usr/lib/sftp-server username
$ echo '/usr/lib/sftp-server' >> /etc/shells
Первая строка ограничивает оболочку пользователя sftp. Вторая строка должна сделать sftp-сервер допустимой оболочкой.
Поскольку Вы не указывали ОС, которую Вы используете, я не могу адаптировать команды в соответствии с Вашими определенными потребностями.
Если пользователям не нужен доступ к тем же файлам, а скорее Вы не хотите настраивать второй сервер только для sftp, я рекомендовал бы виртуализацию вместо этого. Можно установить OpenVZ и установить очень легкий вес VMs для обработки этого.
Если это будет с точностью до Вашей ситуации, то Вы, вероятно, найдете, что установка OpenVZ будет пригождаться для другого материала как это также со временем.
none
аргументForceCommand
также. – Dan Carley 24 July 2009 в 13:44