SFTP-only ucet
Marian Cavojsky
cavo-konf na cavo.sk
Středa Únor 2 10:37:53 CET 2011
On Wed, Feb 02, 2011 at 10:08:14AM +0100, Jan Kasprzak wrote:
> Dobry den,
>
> resim takovyto problem: mam server, na kterem maji nejaci uzivatele
> mit moznost spravovat data v nejakem adresari(*). Moje otazka je, jakym
> zpusobem jim umoznit pristup tak, aby to pro ne nebylo prilis nepohodlne
> a aby to na druhe strane bylo co nejbezpecnejsi pro server.
>
> Stavajici pristup je ze uzivatele maji plne SSH ucty, pricemz
> jeden pouziva rsync-over-SSH na nakopirovani dat, a lokalni prikazy
> pro ruzne presuny, a druhy pouziva SFTP z Windows.
...
> - SSH a SFTP-only ucet:
> + vyborne sifrovani, SSH klic misto hesla (ucet s * v hesle)
> - SSH ma spoustu voleb typu forwardovani portu a podobne,
> ktere je treba explicitne zakazat a doufat, ze se casem
> neobjevi dalsi volba kterou prehlednu. Navic ruzne navody typu
> http://www.debian-administration.org/articles/94
> doporucuji pridat sftp-server do /etc/shells, cimz
> se vystavuji ruznym dalsim typum utoku (.forward a podobne).
> Celkove: vubec si nejsem jisty, jestli je mozne sftp-only
> ucet skutecne nastavit tak, aby byl sftp-only.
A co tak ich zamknut este do chroot napriklad podla tohoto navodu:
http://www.debian-administration.org/articles/590
>
> - autentizovany zapisovatelny rsync
> + vubec nevyzaduje ucet v passwd
> - neni sifrovany, pro uzivatele z Windows je relativne nepohodlny
>
> - rsync z uzivatelem udrzovaneho primarniho zdroje umisteneho jinde
> + nevyzaduje vubec lokalni ucet
> - uzivatel by musel udrzovat kopii adresare na svem stroji,
> coz se mu tam typicky nevejde.
>
> Hlavni otazka je, jestli jde fakt udelat SFTP-only ucet
> a na nic nezapomenout.
--
Marian Cavojsky
Další informace o konferenci Linux