web-dev-qa-db-ja.com

ssh経由でのrootログインを禁止しながら、sftpでのrootログインを許可しますか?

セキュリティのために、ダミーユーザーにCentOS5.8サーバーへのSSH経由のログインのみを許可します。

AllowUsers dummyaccount

サーバーにアクセスするときは、ダミーでログインし、su -を使用してroot権限を取得します。これは、完全にうまく機能します。

これで、次を使用してsftpを設定しました。

Subsystem sftp /usr/libexec/openssh/sftp-server

Sshクライアントでsshトンネルを作成し、FileZillaで接続すると、ダミーアカウントでうまくログインでき、ルートになります。

ただし、sftpでダミーアカウントを使用してroot権限を取得して、ファイルシステムを完全に管理できるようにしたいと思いますOR sftpでrootログインを許可したいのですが、許可しませんつまり、sshでダミーを使用してログインし、su -を使用して上記のようなルート権限を取得しますが、sshトンネルを作成すると、ルートを介してログインできるようになります。 sftp。

シェルをsftp-serverに変更することで、ユーザーにsftpアクセスのみを許可する方法を聞いたことがありますが、シェルを変更するとシステムが破損するため、rootのオプションではないことは明らかです。その構成で別のユーザーを作成することは機能しますが、その場合、ダミーと同じようにsftpを介したファイルシステムへのアクセスが制限されます。

あなたは何を提案しますか?

3
Wingblade

キーベースの認証が必要です。 PermitRootLogin without-passwordオプションを設定します。 internal-sftpの強制コマンドを持つキーを設定します。または、sshd_configをmatchセクションで更新して、sftpを強制します。

Match user root
    ForceCommand internal-sftp  # force SFTP
5
Zoredache