SFTP-only ucet

Pavel Lisy pali na tmapy.cz
Pátek Únor 4 10:04:56 CET 2011


Jan Kasprzak píše v St 02. 02. 2011 v 10:08 +0100:
> 	Dobry den,
> 
> resim takovyto problem: mam server, na kterem maji nejaci uzivatele
> mit moznost spravovat data v nejakem adresari(*). Moje otazka je, jakym
> zpusobem jim umoznit pristup tak, aby to pro ne nebylo prilis nepohodlne
> a aby to na druhe strane bylo co nejbezpecnejsi pro server.
> 
> 	Stavajici pristup je ze uzivatele maji plne SSH ucty, pricemz
> jeden pouziva rsync-over-SSH na nakopirovani dat, a lokalni prikazy
> pro ruzne presuny, a druhy pouziva SFTP z Windows.
> 
> 	Co byste pouzili? Ja zatim zvazuju tyto moznosti:
Nevím, zda by to splňovalo všechny požadavky, ale já jsem na to používal

scp-only přístup, kde dané účty jsou pomocí omezené jailkit-u

Přístup by ale asi neumožňoval rsync, ale s mírnou modifikací nastavení
jailkit-u by se to mohlo podařit.

naznačím konfiguraci pro CentOS, není komplikovaná:

yum --enablerepo=rpmforge install jailkit.x86_64

mkdir /home/sftproot
chown root:root /home/sftproot
chmod 0755 /home/sftproot
jk_init -j /home/sftproot jk_lsh
jk_init -j /home/sftproot sftp
jk_init -j /home/sftproot scp

useradd -u 2001 username
jk_jailuser --jail=/home/sftproot --move /home/username

echo "
[username]
paths= /usr/bin, /usr/lib/ 
executables= /usr/bin/scp, /usr/libexec/openssh/sftp-server
" >> /home/sftproot/etc/jailkit/jk_lsh.ini

mkdir /var/www/html/virtuals/nejaky.virtualni.server
chown apache:vlrz /var/www/html/virtuals/nejaky.virtualni.server
chmod 775 /var/www/html/virtuals/nejaky.virtualni.server
mkdir /home/sftproot/home/username
echo "
# for USERNAME
/var/www/html/virtuals/nejaky.virtualni.server /home/sftproot/home/username none bind 0 0" \
   >> /etc/fstab
mount /home/sftproot/home/username


Doufám, že to jako inspirace může někomu pomoci.


Pavel

> - Samba:
> 	+ udelat ne-shellovy pristup je jednoduche
> 	- neni to sifrovane, coz muze vadit
> 
> - SSH a SFTP-only ucet:
> 	+ vyborne sifrovani, SSH klic misto hesla (ucet s * v hesle)
> 	- SSH ma spoustu voleb typu forwardovani portu a podobne,
> 		ktere je treba explicitne zakazat a doufat, ze se casem
> 		neobjevi dalsi volba kterou prehlednu. Navic ruzne navody typu
> 		http://www.debian-administration.org/articles/94
> 		doporucuji pridat sftp-server do /etc/shells, cimz
> 		se vystavuji ruznym dalsim typum utoku (.forward a podobne).
> 		Celkove: vubec si nejsem jisty, jestli je mozne sftp-only
> 		ucet skutecne nastavit tak, aby byl sftp-only.
> 
> - autentizovany zapisovatelny rsync
> 	+ vubec nevyzaduje ucet v passwd
> 	- neni sifrovany, pro uzivatele z Windows je relativne nepohodlny
> 
> - rsync z uzivatelem udrzovaneho primarniho zdroje umisteneho jinde
> 	+ nevyzaduje vubec lokalni ucet
> 	- uzivatel by musel udrzovat kopii adresare na svem stroji,
> 		coz se mu tam typicky nevejde.
> 
> 	Hlavni otazka je, jestli jde fakt udelat SFTP-only ucet
> a na nic nezapomenout.
> 
> 	Diky,
> 
> -Y.
> 
> (*) "spravovat data" = nahravat soubory, mazat, prejmenovavat, vytvaret
> 	podadresare. Neni treba aby umeli zmenu vlastnika, skupiny, nastaveni
> 	ACL a podobne. Mozna jeste zmenu prav 0644 <--> 0600, vytvareni
> 	symlinku a vytvareni hard linku, ale asi ani to neni nutne.
> 

-- 
Pavel Lisy <pali na tmapy.cz>
T-MAPY spol. s r.o.



Další informace o konferenci Linux