Server external acess security

Navegue suas respostas
1

Estou configurando meu servidor Raspberry Pi / NAS e espero poder acessar fora da rede doméstica. Isso, no entanto, me levou a repensar toda a configuração.

Eu tenho um HDD externo conectado ao Raspberry Pi, que contém todos os dados relevantes que desejo gerenciar / compartilhar.

Eu tenho o vsftpd criando um servidor FTP para a LAN local, btsync sincronizando uma pasta específica do servidor, o daemon transmission gerenciando downloads e gostaria de poder acessar os dados FTP com SFTP .

Eu tenho duas preocupações principais:

  1. Gerenciamento de usuários. É aconselhável que cada serviço / daemon seja executado por um único usuário com permissões restritas dentro de cada contexto, ou um usuário normal (obviamente não root) executando todos os serviços ?

  2. Permissões de gravação. Como uma pessoa desabilitaria a escrita ao acessar via SFTP pela Internet. E como posso limitar o acesso do FTP a apenas uma única pasta base de pasta / usuário?

por joaocandre 04.03.2015 / 20:54

1 resposta

1

Resposta curta

  1. Cada serviço deve ter seu próprio usuário.

  2. (não tenho certeza se entendi) Altere as permissões nos arquivos / diretórios que você não deseja que o usuário possa gravar. Você está procurando por uma prisão chroot.

Resposta longa

  1. Você deve estar executando cada serviço de seus respectivos usuários. Por exemplo, a maioria dos pacotes instalados no Arch Linux faz isso automaticamente, criando seu próprio usuário na instalação. Se alguém obtiver acesso ao único usuário que executa todos os serviços, ele terá acesso a todos os serviços. Se você SSH em seu servidor e você precisar modificar o um dos serviços como esse usuário você pode apenas

  2. Um chroot jail bloqueia um usuário em um diretório e seus sub-diretórios quando eles são SSH / SFTP no servidor. Mais informações sobre como fazer isso podem ser encontradas aqui: link e link .

Espero que ajude.

Editar 1

Eu sugiro usar algo como o dilúvio. Tem um webui que você pode usar para configurá-lo. Você poderia criar um diretório de downloads com apenas permissões de leitura e um diretório de torrent com permissões de gravação. Deluge irá adicionar automaticamente todos os arquivos .torrent no diretório torrent para ser baixado uma vez configurado para fazer isso. BAM, qualquer usuário pode adicionar torrents para serem baixados automaticamente e todos os usuários podem acessar esses downloads.

Uma boa nota lateral (nunca tentei, então não sei se realmente funciona) é que você também pode criar usuários com permissões somente leitura no dilúvio webui para que eles possam assistir ao download de sua torrent. link

    
por 04.03.2015 / 22:16

Tags

Como posso impedir que os arquivos sejam abertos no System? O Chrome salva dados de preenchimento automático de outro computador