Вопросы Теги

Справедливо заключить в тюрьму моих пользователей SFTP к их корневому каталогу?

Гугля вокруг, я нашел это решение:

На самом деле необходимо увеличить сумму Семафоров SysV в системе.

Я использую (в/etc/sysctl.conf):
kernel.sem = 512 32000 100 512
(установите опции в этом файле путем выполнения sysctl-p).

BTW. mod_python является немного устаревшим, начиная с введения WSGI. Большинство современных приложений может быть запущено с помощью mod_wsgi.

4
задан 11 August 2015 в 21:48
4 ответа

пользователи chrooting, использующие ssh, не являются желательной конфигурацией в большинстве случаев. Когда они будут заключены в тюрьму в их домашний dir, они не смогут использовать любые программы вне своего домашнего dir. Это делает Unix почти неприменимым как сервер оболочки.

Можно использовать FTPS вместо SFTP/SCP, который отправит пароли по SSL, но использует ssh сервер, позволяя Вам chroot их для передачи файлов, но не для входа в систему (хотя мало получено, если Вы только chroot их передачи файлов, и они все еще смогут к scp данным из машины).

8
ответ дан 3 December 2019 в 02:35
  • 1
    Я-голосовал бы, но моя репутация doesn' t позволяют это все же.:) Спасибо за ответ. –  tunnuz 15 July 2009 в 22:16
  • 2
    +1 для хорошего ответа. Так как Вы в значительной степени сказали, что я собирался сказать... МОЙ ответ собирался рекомендовать испытательный срок вместо тюрьмы в зависимости от того, имеет ли его состояние " три strikes" закон.;-) –  KPWINC 15 July 2009 в 23:46

Если бы они уже не заключили в тюрьму ssh доступ затем не было бы ничего для получения путем ограничения sftp, даже если Вы могли бы сделать это.

Несомненно, было серьезное основание к chroot FTP-сервер, но Если у меня уже есть ssh доступ к полной машине нет никакого риска дополнительной защиты для меня имеющий sftp доступ.

3
ответ дан 3 December 2019 в 02:35

Я использую MySecureShell для ограничения соединений SFTP на на основание учетной записи пользователя для наших полей Linux.

http://mysecureshell.sourceforge.net/

0
ответ дан 3 December 2019 в 02:35

Необходимо вынудить пользователей использовать sftp с rssh (ограниченная оболочка). Это объединилось с другими нормальными шагами безопасности (основанная на ключе аутентификация), и Вы будете довольно безопасны.

0
ответ дан 3 December 2019 в 02:35
  • 1
    Это лишило бы возможности пользователей использовать ssh, который был точкой вопроса. –  theotherreceive 15 July 2009 в 22:23
  • 2
    Если Вы создаете учетные записи только для SFTP, то настроенный их с rssh как их оболочка, которая походит на хороший способ сделать это. –  Ernie 16 July 2009 в 00:12

Теги

Похожие вопросы