AWS Amazon AMI - restringir acesso SFTP / SSH

2

Eu tenho uma instância do AWS Amazon Linux EC2 em execução com o servidor sftp / ftp (vsftp).

Por motivos de segurança, quero proteger o sistema com a solução de melhores práticas para instâncias do AWS. Meu objetivo é permitir que um grupo com alguns usuários tenha acesso ssh (incluindo a chave de autenticação) e desautorize todos os outros usuários do ssh. Outro grupo deve ter permissão para acessar o sftp e o ftp.

Eu vi que o PAM está ativado no sshd_config padrão da AMI.

    
por Nintox 18.11.2018 / 19:12

1 resposta

1

Digamos que você tenha dois grupos em /etc/passwd :

  1. ssh_users
  2. ftp_users

Para permitir que apenas ssh_users faça o login através do SSH, adicione esta linha a /etc/ssh/sshd_config :

AllowGroups ssh_users

De man sshd_config : AllowGroups - Se especificado, o login só é permitido para usuários cujo grupo principal ou lista de grupos suplementares corresponde a um dos padrões.

Para permitir o login do FTP apenas para membros do grupo ftp_users , você pode, por exemplo, usar pam_listfile (consulte man pam_listfile para obter detalhes).

  1. Primeiro, escreva o nome do grupo para, por exemplo, /etc/pam.d/vsftpd-groups.conf

    ~ # echo ftp_users > /etc/pam.d/vsftpd-groups.conf
    
  2. Em seguida, adicione pam_listfile ao seu arquivo /etc/pam.d/vsftpd :

        auth        required      pam_env.so
        auth        sufficient    pam_unix.so nullok try_first_pass
        auth        requisite     pam_succeed_if.so uid >= 500 quiet
    >>  auth        required      pam_listfile.so item=group sense=allow file=/etc/pam.d/group-access.conf onerr=fail
        auth        required      pam_deny.so
    
        account     required      pam_unix.so broken_shadow
        account     sufficient    pam_localuser.so
        account     sufficient    pam_succeed_if.so uid < 500 quiet
    >>  account     required      pam_listfile.so item=group sense=allow file=/etc/pam.d/group-access.conf onerr=fail
        account     required      pam_permit.so
    

Você também deve olhar para a instância do EC2 Security Group e permitir acesso somente a partir de endereços IP conhecidos de seus usuários de SSH ou FTP, se isso for possível.

Isso deve ser feito.

    
por 20.11.2018 / 21:50