deixa a conta ssh acessar apenas diretórios específicos

2

Se você tem uma conta ssh e um hacker pode colocar as mãos na sua conta, o hacker pode fazer quase tudo no seu servidor. É possível limitar uma conta ssh para acessar apenas alguns diretórios específicos com alguns privilégios limitados?

    
por Ehsan Baghaki 16.04.2010 / 12:12

4 respostas

3

O Chroot já foi mencionado. Mas agora o ssh tem embutido para transferências sftp. Você pode desativar o acesso ao shell e usar uma configuração semelhante a esta .

As explorações de raiz local são sempre um problema para distros, existem apenas algumas coisas que você pode fazer facilmente.

  • Desative os logins raiz e use o sudo.
  • Desative a autenticação por senha em ssh (use chaves ssh com senhas).
  • Torne os diretórios pessoais não navegáveis.
  • Não forneça contas de shell se puder ajudar.

Eu levo isso um passo adiante e executo ssh em uma porta alta aleatória para dificultar a localização. Mais específico do que isso e precisaremos saber qual distribuição você está usando.

    
por 16.04.2010 / 15:39
3

chroot é sua melhor aposta.

    
por 16.04.2010 / 12:21
1

Apenas algumas ideias. Você pode configurar as contas para usar um shell restrito, por exemplo %código%. Alternativamente, você pode tentar adicionar uma opção /bin/rbash ao arquivo authorized_keys.

Mas tudo isso é apenas ideia. Como de costume, a segurança é um processo ...

    
por 16.04.2010 / 12:24
0

Eu sugiro strongmente que você mude para usar pares de chaves (com senhas para adicionar outro fator) para autenticação SSH. Meu /var/log/auth.log está muito quieto hoje em dia.

    
por 16.04.2010 / 15:34

Tags