linux – 保护安全SFTP服务器的文件系统

前端之家收集整理的这篇文章主要介绍了linux – 保护安全SFTP服务器的文件系统前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
这似乎不是一个发展问题,但实际上它是.让我解释一下.我们的主要开发重点是动态内容页面.我们的一些客户要求我们允许他们在我们的服务器(他们付费)中使用旧的静态内容.我们通过向客户提供ftp帐户到另一个域来实现此目的. (例如,客户域名是customer.com,但他们通过otherdomain.com/customerstatic访问其静态内容).

现在我们希望增加安全性,为客户提供Linux服务器上的sftp帐户.我在他们的shell环境中使用openssh / sftp-server,因此他们无法登录或执行命令.

问题在于,本质上许多文件系统文件是默认的(drwxr-xr-x),这意味着任何用户都能够读取目录的内容以及可能的某些文件.我不认为将整个文件系统更改为-rwxr-x-x是明智之举,因为我不知道有多少系统文件需要该读取权限.

过去有人遇到过这个问题.如果你有,你能指教吗?

谢谢

解决方法

SFTP本质上并不安全;让他们进入你的整个文件系统是.检查一下,了解如何在chroot的基础上启用SFTP访问,这将锁定他们可以访问的目录,比如他们的主目录,或者您希望他们上传的位置.

在Linux上,我会关注这一部分(配置/ etc / ssh / sshd_config):

Match Group sftponly
         ChrootDirectory %h
         ForceCommand internal-sftp 
         AllowTcpForwarding no

这意味着’sftponly’用户组中的任何人都将被限制在他们的主目录中.

有关更多信息,请参阅该链接,另请阅读sshd_config联机帮助页.希望有所帮助.

猜你在找的Linux相关文章