这似乎不是一个发展问题,但实际上它是.让我解释一下.我们的主要开发重点是动态内容页面.我们的一些客户要求我们允许他们在我们的服务器(他们付费)中使用旧的静态内容.我们通过向客户提供ftp帐户到另一个域来实现此目的. (例如,客户域名是customer.com,但他们通过otherdomain.com/customerstatic访问其静态内容).
现在我们希望增加安全性,为客户提供Linux服务器上的sftp帐户.我在他们的shell环境中使用openssh / sftp-server,因此他们无法登录或执行命令.
问题在于,本质上许多文件系统文件是默认的(drwxr-xr-x),这意味着任何用户都能够读取目录的内容以及可能的某些文件.我不认为将整个文件系统更改为-rwxr-x-x是明智之举,因为我不知道有多少系统文件需要该读取权限.
过去有人遇到过这个问题.如果你有,你能指教吗?
谢谢
解决方法
SFTP本质上并不安全;让他们进入你的整个文件系统是.检查一下,了解如何在chroot的基础上启用SFTP访问,这将锁定他们可以访问的目录,比如他们的主目录,或者您希望他们上传的位置.
在Linux上,我会关注这一部分(配置/ etc / ssh / sshd_config):
Match Group sftponly
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
这意味着’sftponly’用户组中的任何人都将被限制在他们的主目录中.
有关更多信息,请参阅该链接,另请阅读sshd_config联机帮助页.希望有所帮助.
