Restringir el acceso de usuarios en Linux

Question 1

Los usuarios no “tienen efectivamente acceso de root” sólo porque pueden explorar otros directorios. Todos los usuarios con acceso shell pueden explorar la instalación del software; después de todo, esta no es información confidencial, ya que se puede descargar desde cualquier número de sitios. Si hay directorios que no desea exponer a todos los usuarios del shell, proporcióneles los permisos restrictivos adecuados.

Si desea tener una segunda capa de seguridad, puede restringir las cuentas. Si solo desea permitir que estos usuarios exploren, carguen y descarguen archivos en /var/www/html/testuser.com, entonces no les dé una cuenta shell, déles una cuenta restringida que solo pueda usar SFTP. Puede especificar opciones para una cuenta específica ensshd_configcon un Matchbloque. (Ponga esto al final del archivo, ya que la Matchdirectiva se extiende a la siguiente Matchdirectiva o al final del archivo).

Match User testuser
    Force-command internal-sftp
    ChrootDirectory /var/www/html/testuser.com

Si desea permitir que los usuarios utilicen algunos comandos más, como scp y rsync, pero no acceso general al shell, utilicersshosolocomo shell en su cuenta e instale y configure rssh o scponly para especificar qué comandos desea permitir (consulte¿Necesitas un caparazón para SCP?).

Si desea proporcionar una cuenta de shell que solo permita ejecutar algunos programas incluidos en la lista blanca, convierta su shell en unacaparazón restringido. Tenga en cuenta que estos usuarios podrán acceder a archivos fuera de su directorio de inicio, según los permisos de archivo.

Si desea otorgar acceso completo al shell, pero hacer que todo lo que no sea los directorios personales sea invisible, entonces necesita crear algún tipo decelda. La forma más débil de cárcel es unacárcel chroot, que restringe al usuario a una rama del árbol de directorios. Restringir a un usuario a un chroot es tan fácil como especificarlo ChrootDirectoryen sshd_config; sin embargo, dado que el usuario no puede salir de la cárcel, el directorio debe contener todos los programas que utilizará el usuario y sus datos. Puedes usarunir montajespara hacer que algunos directorios (por ejemplo /usr) sean visibles dentro de la cárcel.

Answer

Los usuarios no “tienen efectivamente acceso de root” sólo porque pueden explorar otros directorios. Todos los usuarios con acceso shell pueden explorar la instalación del software; después de todo, esta no es información confidencial, ya que se puede descargar desde cualquier número de sitios. Si hay directorios que no desea exponer a todos los usuarios del shell, proporcióneles los permisos restrictivos adecuados.

Si desea tener una segunda capa de seguridad, puede restringir las cuentas. Si solo desea permitir que estos usuarios exploren, carguen y descarguen archivos en /var/www/html/testuser.com, entonces no les dé una cuenta shell, déles una cuenta restringida que solo pueda usar SFTP. Puede especificar opciones para una cuenta específica ensshd_configcon un Matchbloque. (Ponga esto al final del archivo, ya que la Matchdirectiva se extiende a la siguiente Matchdirectiva o al final del archivo).

Match User testuser
    Force-command internal-sftp
    ChrootDirectory /var/www/html/testuser.com

Si desea permitir que los usuarios utilicen algunos comandos más, como scp y rsync, pero no acceso general al shell, utilicersshosolocomo shell en su cuenta e instale y configure rssh o scponly para especificar qué comandos desea permitir (consulte¿Necesitas un caparazón para SCP?).

Si desea proporcionar una cuenta de shell que solo permita ejecutar algunos programas incluidos en la lista blanca, convierta su shell en unacaparazón restringido. Tenga en cuenta que estos usuarios podrán acceder a archivos fuera de su directorio de inicio, según los permisos de archivo.

Si desea otorgar acceso completo al shell, pero hacer que todo lo que no sea los directorios personales sea invisible, entonces necesita crear algún tipo decelda. La forma más débil de cárcel es unacárcel chroot, que restringe al usuario a una rama del árbol de directorios. Restringir a un usuario a un chroot es tan fácil como especificarlo ChrootDirectoryen sshd_config; sin embargo, dado que el usuario no puede salir de la cárcel, el directorio debe contener todos los programas que utilizará el usuario y sus datos. Puedes usarunir montajespara hacer que algunos directorios (por ejemplo /usr) sean visibles dentro de la cárcel.

Question 2

Échale un vistazo man 5 sshd_configa la opción ChrootDirectory.

Answer

Échale un vistazo man 5 sshd_configa la opción ChrootDirectory.

Question 3

Puede cambiar los permisos /var/www/htmlpara que solo el root pueda ver/modificar los archivos/carpetas.

Como:

chown root:root  /var/www/html

Answer

Puede cambiar los permisos /var/www/htmlpara que solo el root pueda ver/modificar los archivos/carpetas.

Como:

chown root:root  /var/www/html

Restringir el acceso de usuarios en Linux

Respuesta1

Respuesta2

Respuesta3

información relacionada