שאלה אפשר ל- SFTP אך לא לאפשר SSH?


אני מתחיל מעט מאוד חברת אירוח עבור כמה חברים ולקוחות קטנים, שום דבר גדול.

אני רוצה לתת ל"לקוחות שלי "את הזכות לנהל את הקבצים שלהם בשרת. אני שונא FTP כפי שהוא לא מאובטח וזה לדעתי מיושן.

אז אני רוצה לאפשר למשתמשים שלי להתחבר דרך SFTP אבל לא לאפשר להם להתחבר דרך SSH. (אני יודע, אני יודע, SFTP משתמש SSH). אבל אני רק תוהה, זה אפשרי?

אז אני לא צריך להתקין שירות FTP בשרת והכל יהיה מדהים!


88
2018-01-28 20:40






תשובות:


החל מגרסה 4.9 OpenSSH (לא זמין ב centos 5.x אבל תכונה ChrootDirectory היה backported) יש internal-sftp :05

Subsystem sftp internal-sftp

ולאחר מכן לחסום שימושים אחרים:

Match group sftponly
     ChrootDirectory /home/%u
     X11Forwarding no
     AllowTcpForwarding no
     ForceCommand internal-sftp

הוסף את המשתמשים שלך ל- sftponly קבוצה. אתה צריך לשנות את homedirectory של המשתמש / בגלל החרוט ו /home/user צריך להיות בבעלות root. גם אני הייתי קובע /bin/false כמו הקליפה של המשתמש.


114
2018-01-28 20:46



וואו! סופר מדהים! אני אבחן את זה ואחזור לכאן כדי לאמת. תודה רבה! - TomShreds
+1 עבור הדבר ChrootDirectory! - Kyle Hodgson
אחרי עושה את זה, sftponly המשתמש שלי צביעות על ידי ssh והוא מסוגל להתחבר על ידי sftp. עם זאת הוא לא יכול לראות שום קובץ בכלל! למרות קבצים אלה יש הרשאה עבור משתמש זה. :-( - Emilio Nicolás
במקרה שאתה רוצה לעשות את זה ולמצוא ערך sshd_config שלך עם "/ usr / lib / OpenSsh / sftp שרת" כבר קיים, לבדוק כאן: serverfault.com/questions/660160/...  - פנימי sftp הוא "חדש, טוב יותר וקל יותר" - Xosofox


יש קליפה בזק מה זה. זה יכול chroot מדי.


19
2018-01-28 21:11



זה יגיע נהדר אם אתה צריך גם משתמשים SFTP ומשתמשים SSH. אתה פשוט להחליף את הקליפה ב / etc / passwd עבור אלה מוגבלים רק SFTP. - Dragos


Rssh Checkout אשר הוא פגז מזויפות המאפשר sftp אבל מכחיש ssh

עוד על RSSH

http://www.pizzashack.org/rssh/

סל"ד

http://pkgs.repoforge.org/rssh/

ניתן להגדיר rssh כדי לאפשר / להכחיש התנהגויות שונות כמו sft, scp וכו '


4
2018-02-02 13:15



נחמד. זוהי הדרך הקלה ביותר להגדרה ללא מגע sshd_config בכלל. פשוט לשנות את הקליפה בקובץ passwd לעשות. - Tomofumi


אתה יכול לשנות / etc / passwd ולתת למשתמש הזה פגז מזויף, כך שהוא לא יכול להשתמש ssh.


2
2018-01-28 20:46



האם בדקת את זה? - splattne
כאשר אני מנסה להגדיר את הקליפה /bin/false לא ssh או sftp עובד - Brad Mace
/ bin / false היא לא לאפשר כל סוג של התחברות, זה לא הגישה הנכונה כאן. התשובה המקובלת של רוב ווטרס 'היא איך אתה צריך להגביל את המשתמשים SFTP בלבד, לא על ידי שינוי פגז. אם אתה רוצה לשנות את הקונכייה של @ סטון זה יהיה רעיון טוב. - jwbensley
אז מה פגז צריך לשמש בהנחה / bin / bash אינו מקובל ו / bin / false או / sbin / nologin להכחיש גישה? - Putnik


אני משתמש בשיטה של ​​ציון פגז המשתמש כמו / bin / שקר כאמור. עם זאת, עליך לוודא כי / bin / פגז נמצא / etc / פגזים. אז זה עובד ssh = לא ftp = אישור.

אני גם להשתמש vsftpd ולהוסיף את זה
chroot_local_user = כן ל /etc/vsftpd/vsftpd.conf כך ש- ftp-ers לא יכול לראות תאריך אחר מאשר שלהם.

יתרון אלה שינויים פשוטים הם לא מעצבן מעצבן תצורת ssh עבור כל משתמש.


1
2017-09-23 17:09





אל תשכח למצוא את הקו UsePAM yes ולהעיר אותו:

#UsePAM yes

מבלי להשבית את זה, שרת SSH שלך לקרוס על טעינה מחדש / הפעלה מחדש. מכיוון שאתה לא צריך פונקציות מפוארות של PAM, זה בסדר.


1
2018-01-25 22:02





הגדרת ssh כדי להפעיל רק sftp עבור משתמשים נבחרים מסוימים הוא רעיון טוב וזה עובד כראוי, בתנאי שאתה מתקין גם scponly או rssh.

rssh עובד בסדר, אלא אם כן אתה צריך להגדיר את הכלא, במקרה זה לנסות לעקוב אחר ההוראות המסופקות על ידי מדריכים CHROOT הוא משוגע, המוביל "להעתיק" חלקים גדולים של מערכת הרצה וספרייה ממש מתחת "כל משתמש בכלא", כולל rssh פגז עצמה. זוהי שיטת בזבוז חלל.

scponly זקוק להבנה עמוקה בתצורה המביאה לבעיה מתמשכת של דחיית התחברות במקרה של הגדרת כלא.

דרך פשוטה לאפשר פונקציות "ftp" עם כלא כראוי עבודה, SSL / TLS תמיכה בעסקאות מאובטחות להיכנס הוא להשתמש "ישן אבל עובד" VSFTPD, אשר מתקינה במהירות נקייה ומציע את כל התצורה לפי הצורך, אבל לא פחות: זה עובד!

מאוריציו.


0
2018-04-23 12:47