web-dev-qa-db-ja.com

SFTPユーザーをホームディレクトリに投獄するのは公正ですか?

ルーツ。 LAN上でUbuntu9.04(ホーム)サーバーを実行しています。私は現在、小さなWebアプリ、写真、Subversionリポジトリなどを保存するために使用しています。私の(少数の)ユーザーは私の友人であり、私は常に彼らに彼らのホームディレクトリへの投獄されたFTPアクセスを提供しました。さて、最近、接続が確立されたときにパスワードがマスクされておらず、簡単に盗聴できるため、FTPはそれほど安全ではないことに気付きました。

SFTPを使用してこの問題を解決することにしましたが、疑問に思う問題があり、それについての意見が必要です。

SFTPを使用すると、ファイルシステムへのアクセスはSSH設定によって異なります。したがって、ユーザーをSFTPのホームディレクトリに投獄するには、SSHを使用するときにも投獄する必要があります。私の質問は、これは望ましい構成ですか? UNIXユーザーの常識的な特権の制限ではありませんか?

次の2番目の問題があります:Ubuntu 9.04サーバーでそれを達成する簡単な方法はありますか?

ありがとうTommaso

4
tunnuz

sshを使用してユーザーをchrootすることは、ほとんどの場合、not望ましい構成です。彼らが彼らのホームディレクトリに投獄されるとき、彼らは彼らのホームディレクトリの外でどんなプログラムも使うことができなくなります。これにより、UNIXはシェルサーバーとしてほとんど使用できなくなります。

SSL経由でパスワードを送信するSFTP/SCPの代わりにFTPSを使用できますが、sshサーバーを使用するため、ファイル転送用にchrootできますが、ログイン用にはできません(ただし、ファイル転送をchrootするだけではほとんど得られません。彼らはまだマシンからデータをscpすることができます)。

8
Cian

すでにジェイルされていないsshアクセスを持っている場合は、たとえそれができたとしても、sftpを制限しても何も得られません。

確かに、ftpサーバーをchrootするのには十分な理由がありましたが、マシン全体へのsshアクセスがすでにある場合は、sftpアクセスを使用してもセキュリティ上のリスクはありません。

3
theotherreceive

rssh(制限付きシェル) でsftpを使用するようにユーザーに強制する必要があります。これを他の通常のセキュリティ手順(キーベースの認証)と組み​​合わせると、かなり安全になります。

0
moshen

MySecureShellを使用して、LinuxボックスのユーザーアカウントごとにSFTP接続を制限しています。

http://mysecureshell.sourceforge.net/

0
J.Zimmerman