SFTP-only ucet

Jan Kasprzak kas na fi.muni.cz
Středa Únor 2 10:08:14 CET 2011


	Dobry den,

resim takovyto problem: mam server, na kterem maji nejaci uzivatele
mit moznost spravovat data v nejakem adresari(*). Moje otazka je, jakym
zpusobem jim umoznit pristup tak, aby to pro ne nebylo prilis nepohodlne
a aby to na druhe strane bylo co nejbezpecnejsi pro server.

	Stavajici pristup je ze uzivatele maji plne SSH ucty, pricemz
jeden pouziva rsync-over-SSH na nakopirovani dat, a lokalni prikazy
pro ruzne presuny, a druhy pouziva SFTP z Windows.

	Co byste pouzili? Ja zatim zvazuju tyto moznosti:

- Samba:
	+ udelat ne-shellovy pristup je jednoduche
	- neni to sifrovane, coz muze vadit

- SSH a SFTP-only ucet:
	+ vyborne sifrovani, SSH klic misto hesla (ucet s * v hesle)
	- SSH ma spoustu voleb typu forwardovani portu a podobne,
		ktere je treba explicitne zakazat a doufat, ze se casem
		neobjevi dalsi volba kterou prehlednu. Navic ruzne navody typu
		http://www.debian-administration.org/articles/94
		doporucuji pridat sftp-server do /etc/shells, cimz
		se vystavuji ruznym dalsim typum utoku (.forward a podobne).
		Celkove: vubec si nejsem jisty, jestli je mozne sftp-only
		ucet skutecne nastavit tak, aby byl sftp-only.

- autentizovany zapisovatelny rsync
	+ vubec nevyzaduje ucet v passwd
	- neni sifrovany, pro uzivatele z Windows je relativne nepohodlny

- rsync z uzivatelem udrzovaneho primarniho zdroje umisteneho jinde
	+ nevyzaduje vubec lokalni ucet
	- uzivatel by musel udrzovat kopii adresare na svem stroji,
		coz se mu tam typicky nevejde.

	Hlavni otazka je, jestli jde fakt udelat SFTP-only ucet
a na nic nezapomenout.

	Diky,

-Y.

(*) "spravovat data" = nahravat soubory, mazat, prejmenovavat, vytvaret
	podadresare. Neni treba aby umeli zmenu vlastnika, skupiny, nastaveni
	ACL a podobne. Mozna jeste zmenu prav 0644 <--> 0600, vytvareni
	symlinku a vytvareni hard linku, ale asi ani to neni nutne.

-- 
| Jan "Yenya" Kasprzak  <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839      Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/    Journal: http://www.fi.muni.cz/~kas/blog/ |
Please don't top post and in particular don't attach entire digests to your
mail or we'll all soon be using bittorrent to read the list.     --Alan Cox


Další informace o konferenci Linux