OpenSSH что-то вроде «internal-sftp», но для SCP?

Question 1

Взгляни наршшкоторая представляет собой альтернативную оболочку, обеспечивающую ограниченный доступ к системе.

rssh — это ограниченная оболочка для предоставления ограниченного доступа к хосту через ssh(1), позволяющая пользователю, чья оболочка настроена на rssh, использовать одну или несколько команд scp(1), sftp(1), cvs(1), rdist(1) и rsync(1), и только эти команды.

Вы можете настроить, какие команды могут использоваться для каждого пользователя или для всей системы, используяrssh.confфайл

В качестве альтернативы вы можете использоватьscponlyчтобы делать то, что вы хотите. Он действует как оболочка для пакета ssh и позволяет передавать файлы, но не имеет доступа к оболочке.

Answer

Взгляни наршшкоторая представляет собой альтернативную оболочку, обеспечивающую ограниченный доступ к системе.

rssh — это ограниченная оболочка для предоставления ограниченного доступа к хосту через ssh(1), позволяющая пользователю, чья оболочка настроена на rssh, использовать одну или несколько команд scp(1), sftp(1), cvs(1), rdist(1) и rsync(1), и только эти команды.

Вы можете настроить, какие команды могут использоваться для каждого пользователя или для всей системы, используяrssh.confфайл

В качестве альтернативы вы можете использоватьscponlyчтобы делать то, что вы хотите. Он действует как оболочка для пакета ssh и позволяет передавать файлы, но не имеет доступа к оболочке.

Question 2

Это нужно делать через ssh?

ЕСЛИ так, вы можете попробовать установить их оболочку на:

/usr/libexec/openssh/sftp-server

И обязательно добавьте вышеперечисленное в /etc/shells

Если вы хотите отказаться от использования встроенных учетных записей, вы можете настроить proftpd

Я настроил безопасный SFTP с помощью proftpd. Скомпилировал proftpd следующим образом:

./configure --prefix=/usr --sysconfdir=/etc --with-modules=mod_sftp

Можете воспользоваться этой статьей ниже и еще несколькими статьями в Google о том, как это настроить:

http://tutorialgenius.blogspot.com/2012/02/linux-installing-and-configuring.html

Answer

Это нужно делать через ssh?

ЕСЛИ так, вы можете попробовать установить их оболочку на:

/usr/libexec/openssh/sftp-server

И обязательно добавьте вышеперечисленное в /etc/shells

Если вы хотите отказаться от использования встроенных учетных записей, вы можете настроить proftpd

Я настроил безопасный SFTP с помощью proftpd. Скомпилировал proftpd следующим образом:

./configure --prefix=/usr --sysconfdir=/etc --with-modules=mod_sftp

Можете воспользоваться этой статьей ниже и еще несколькими статьями в Google о том, как это настроить:

http://tutorialgenius.blogspot.com/2012/02/linux-installing-and-configuring.html

Question 3

Боюсь, с OpenSSH ничего столь же простого и надежного нет, поскольку, как вы заметили, там есть встроенный сервер SFTP, но нет встроенного сервера SCP.

Предупреждение: предложение вответ Винса Беркаплохо по ряду причин:

На поведение оболочки в отношении файлов запуска могут влиять переменные среды, которые SSH может устанавливать удаленно в зависимости от конфигурации сервера.
Пользователь может просто запустить ssh /bin/bashи получить оболочку. У нее не будет tty, и поэтому ее будет неудобно использовать, ну и что... Не говоря уже обо всех других программах, которые он может запустить, но вы, по-видимому, не хотите, чтобы он это делал.
Изменение разрешений .bash_profileмало что даст, если пользователь может просто сделать ssh host rm -f .bash_profile. Ничего не было сказано о разрешениях для домашнего каталога.

… и т. д. Такой подход слишком хрупок.

Answer

Боюсь, с OpenSSH ничего столь же простого и надежного нет, поскольку, как вы заметили, там есть встроенный сервер SFTP, но нет встроенного сервера SCP.

Предупреждение: предложение вответ Винса Беркаплохо по ряду причин:

На поведение оболочки в отношении файлов запуска могут влиять переменные среды, которые SSH может устанавливать удаленно в зависимости от конфигурации сервера.
Пользователь может просто запустить ssh /bin/bashи получить оболочку. У нее не будет tty, и поэтому ее будет неудобно использовать, ну и что... Не говоря уже обо всех других программах, которые он может запустить, но вы, по-видимому, не хотите, чтобы он это делал.
Изменение разрешений .bash_profileмало что даст, если пользователь может просто сделать ssh host rm -f .bash_profile. Ничего не было сказано о разрешениях для домашнего каталога.

… и т. д. Такой подход слишком хрупок.

Question 4

Это сторонний инструмент, который не входит в сферу рассмотрения вопроса, но я посчитал, что он в любом случае заслуживает упоминания.

Тюремный комплект:https://olivier.sessink.nl/jailkit/

Он содержит набор инструментов, упрощающих настройку пользовательских джейлов — копирование двоичных файлов и библиотек в джейл и настройка ведения журнала изнутри джейла в ОС. Я использовал его для сборки chroots только для sftp/scp/rsync.

Он также поставляется с jk_lsh(ограниченной оболочкой jailkit), которую можно использовать за пределами тюрьмы, чтобы ограничить команды, которые может выполнять пользователь, например, если вы хотите разрешить только scp/sftp/rsync без chroot.

Answer

Это сторонний инструмент, который не входит в сферу рассмотрения вопроса, но я посчитал, что он в любом случае заслуживает упоминания.

Тюремный комплект:https://olivier.sessink.nl/jailkit/

Он содержит набор инструментов, упрощающих настройку пользовательских джейлов — копирование двоичных файлов и библиотек в джейл и настройка ведения журнала изнутри джейла в ОС. Я использовал его для сборки chroots только для sftp/scp/rsync.

Он также поставляется с jk_lsh(ограниченной оболочкой jailkit), которую можно использовать за пределами тюрьмы, чтобы ограничить команды, которые может выполнять пользователь, например, если вы хотите разрешить только scp/sftp/rsync без chroot.

OpenSSH что-то вроде «internal-sftp», но для SCP?

решение1

решение2

решение3

решение4

Связанный контент