セキュリティのために、ダミーユーザーにCentOS5.8サーバーへのSSH経由のログインのみを許可します。
AllowUsers dummyaccount
サーバーにアクセスするときは、ダミーでログインし、su -
を使用してroot権限を取得します。これは、完全にうまく機能します。
これで、次を使用してsftpを設定しました。
Subsystem sftp /usr/libexec/openssh/sftp-server
Sshクライアントでsshトンネルを作成し、FileZillaで接続すると、ダミーアカウントでうまくログインでき、ルートになります。
ただし、sftpでダミーアカウントを使用してroot権限を取得して、ファイルシステムを完全に管理できるようにしたいと思いますOR sftpでrootログインを許可したいのですが、許可しませんつまり、sshでダミーを使用してログインし、su -
を使用して上記のようなルート権限を取得しますが、sshトンネルを作成すると、ルートを介してログインできるようになります。 sftp。
シェルをsftp-serverに変更することで、ユーザーにsftpアクセスのみを許可する方法を聞いたことがありますが、シェルを変更するとシステムが破損するため、rootのオプションではないことは明らかです。その構成で別のユーザーを作成することは機能しますが、その場合、ダミーと同じようにsftpを介したファイルシステムへのアクセスが制限されます。
あなたは何を提案しますか?
キーベースの認証が必要です。 PermitRootLogin without-password
オプションを設定します。 internal-sftp
の強制コマンドを持つキーを設定します。または、sshd_config
をmatchセクションで更新して、sftpを強制します。
Match user root
ForceCommand internal-sftp # force SFTP