SShfs e segurança

0

Eu tenho as seguintes perguntas:    Se eu montar sshf mail@host:/home/mail ./foo É possível restringir as possibilidades de montagem e não dar acesso ao shell? Tudo que eu quero é armazenamento remoto e seguro para correio, mas os sshfs permitem muito. Além disso, parece que requeire mail user para ter shell. Quais são as melhores soluções?

Segundo, o usuário precisa ter o shell para o cron ser capaz de fazê-lo funcionar?

EDIT: Parece que eu não estava limpo o suficiente. O que eu tenho:

* remote host(server), that fetch mail via 'fetchmail' into some directory.
* client, that need rw, key-authorization access to mentioned mail dir.

Preferível, esse cliente não terá acesso a nada além de maildir. Na verdade, preciso do nfs com autenticação de chave pública.

    
por KAction 13.08.2012 / 20:40

2 respostas

2

sshfs usa o SFTP, que exige apenas a execução do programa do servidor SFTP, cujo caminho completo pode variar, mas é sempre registrado em /etc/ssh/sshd_config ; por exemplo,

Subsystem sftp /usr/lib/ssh/sftp-server

É fácil escrever um shell "sftp-only" que permite apenas executar este único comando. Vários já existem.

Além disso, a linha Subsystem pode ser alterada para usar internal-sftp , que é embutido no daemon sshd e não requer um shell:

Subsystem sftp internal-sftp

Isso permite que o usuário seja chrooted em um diretório específico.

    
por 13.08.2012 / 22:09
1

All I want is remote, secure storage for mail,

Você pode tratar isso como um dos dois problemas diferentes:

  • Armazenamento seguro remoto para "arquivos genéricos" e seus arquivos de mensagens são apenas um caso especial de arquivos comuns
  • Armazenamento seguro remoto para e-mail especificamente

No primeiro caso, eu usaria algo como o FTP sobre TLS explícito, que você pode configurar usando, por exemplo, vsftpd no lado remoto, e configurar um cron job (localmente) para enviar o email pelo ftp usando o comando lftp , por exemplo, que é um cliente FTP com script. Nenhum acesso ao shell na caixa remota seria necessário, e você pode até mesmo configurar certificados de cliente para que possa fazer o login sem senha sem armazenar a senha no script.

Neste último caso, você pode querer olhar para os relés smtp e armazenar uma cópia da sua própria caixa de correio em um spool de e-mail imap no servidor remoto, mas isso é muito mais complicado de configurar.

    
por 13.08.2012 / 20:46