Es werden viele Lösungen beschrieben, um Ihre SSH-Verbindung zu zwingen, nur SFTP auszuführen, indem Sie die sshd_config ändern, indem Sie eine neue Gruppenübereinstimmung hinzufügen und dieser neuen Gruppe einen Forcecommand internal-sftp geben
Nun, das funktioniert großartig, aber ich hätte gerne noch ein paar weitere Funktionen.
Meine Server sperren automatisch IPs, die in kurzer Zeit häufig eine Verbindung herstellen möchten. Wenn Sie also einen SFTP-Client verwenden, der mehrere Verbindungen öffnet, um schneller zu arbeiten, kann dieser vom Server sofort für längere Zeit gesperrt werden.
Die Server verfügen über ein Skript, mit dem der Administrator Benutzer auf die Whitelist setzen kann. Ich habe dieses Skript geändert, um den Benutzer, der das Skript ausführt, auf die Whitelist zu setzen.
Jetzt muss ich nur noch dafür sorgen, dass der Server dieses Skript ausführt, wenn sich jemand anmeldet. Unter SSH ist das kein Problem, fügen Sie es einfach in .bashrc oder so ein, aber Forcecommand führt diese Skripte beim Anmelden nicht aus.
Gibt es eine Möglichkeit, ein solches Shellskript vor oder gleichzeitig mit dem Auslösen des Force-Befehls auszuführen?
Antwort1
Wenn Ihr Problem darin besteht, dass Leute versuchen, sich mit Brute-Force-Methoden Zugang zu verschaffen, versuchen Sie, den Port Ihres SFTP-Servers zu ändern. Normalerweise spammen Leute nur Port 22.