好的,所以我有一个VPS,我为一个朋友创建了一个帐户,这样他就可以托管自己的域名(使用DirectAdmin中的经销商功能).他要求SSH访问,我知道这可能是一个坏主意.他是否可以访问我的整个服务器,例如执行命令,访问我在服务器上托管的域名?我使用他的帐户详细信息登录了我的SSH,它让我浏览所有根文件夹/文件,他的帐户在/ home / AccountName /下.
反正是否只限制他访问他的文件夹?他可以使用的命令?
编辑:他可以在我的服务器上安装程序吗?
解决方法
作为一个普通用户,你的朋友将不能对你的服务器造成太大的伤害(确定他们可以产生一个叉炸弹或填满你的磁盘,但如果他们真的是朋友,他们可能不会拉动一个鸡巴移动像那样).如果他们要求提供帐户,我的朋友会在我的机器上获得实际的登录
shell,并且如果他们做任何令我生气的事情,他们会从机器上启动,这是一个严厉的讲座.
听起来你不太相信你的“朋友”,所以除了The Rook的回答之外,我还会说,能够运行PHP脚本的中途能干的人几乎和不受限制的用户一样危险. (可登录)SSH访问,我假设您的服务器允许PHP.请记住,用户可以通过PHP运行不受信任的代码,包括下载,编译和运行系统上的其他任意程序(尽管在Web服务器用户权限的限制范围内).一般来说,除非你正在chroot / jail你的网络服务器,你的朋友可以看到他的登录shell,他可以看到一些非常有创意的PHP脚本.
底线:给某人一个帐户,然后在/ etc / passwd&中锁定他们的shell.设置SFTP chroot选项会有所帮助,但您应该考虑任何访问的安全隐患以及您对此人的信任程度.