É justo prender meus usuários de SFTP em seu diretório pessoal?

Navegue suas respostas
4

raízes . Estou executando um servidor Ubuntu 9.04 (home) na minha LAN. Eu atualmente o uso para armazenar pequenos aplicativos da web, fotos, algum repositório do subversion e coisas assim. Meus (poucos) usuários são amigos meus e eu sempre forneci a eles um acesso FTP preso ao seu diretório pessoal. Agora, recentemente, percebi que o FTP não é tão seguro, pois as senhas não são mascaradas quando a conexão é estabelecida e, portanto, são facilmente detectáveis.

Eu decidi resolver esse problema usando o SFTP, mas há um problema que me faz pensar e preciso da sua opinião sobre isso.

Usando o SFTP, o acesso ao sistema de arquivos depende das configurações do SSH. Então, para prender os usuários ao seu diretório home para SFTP eu tenho que prendê-los também quando eles usam o SSH, minha pergunta é: esta é uma configuração desejável? Não é uma limitação dos privilégios de senso comum do usuário do UNIX?

Existe um problema secundário: existe uma maneira simples de realizar isso no Ubuntu 9.04 Server?

Obrigado Tommaso

    
por tunnuz 15.07.2009 / 21:06

4 respostas

7

chrooting users using ssh é not uma configuração desejável na maioria dos casos. Quando eles são presos em seu diretório home, eles não poderão usar nenhum programa fora de seu diretório home. Isso torna o unix quase inutilizável como um servidor shell.

Você pode usar FTPS em vez de SFTP / SCP, que enviará senhas por SSL, mas usará um servidor ssh, permitindo que você faça o chroot para transferência de arquivos, mas não para login (embora pouco seja obtido se você fizer o chroot apenas no arquivo transferências, e eles ainda serão capazes de scp dados da máquina).

    
por 15.07.2009 / 21:11
3

Se eles já tiverem acesso ssh não explorado, então não haverá nada a ganhar restringindo o sftp, mesmo que você possa fazê-lo.

Claro, havia uma boa razão para fazer o chroot no servidor ftp, mas se eu já tiver acesso ssh à máquina completa, não haverá risco de segurança adicional para mim ter acesso sftp.

    
por 15.07.2009 / 21:10
0

Você deve forçar os usuários a usar o sftp com rssh (shell restrito) . Isso combinado com outras etapas normais de segurança (autenticação baseada em chave) e você estará razoavelmente seguro.

    
por 15.07.2009 / 21:18
0

Eu uso o MySecureShell para limitar as conexões SFTP em uma base por conta de usuário para as nossas caixas Linux.

link

    
por 16.07.2009 / 02:39

Tags

Como obter arquivos de uma imagem de disquete Montar unidade de sistema criptografada TrueCrypt em outro computador?