sshユーザーアカウントを彼のホームディレクトリにアクセスするためだけに制限する!
いくつかを読むことによって チュートリアル オンラインで私はこれらのコマンドを使用しました:
ローカルグループを作成します:net localgroup CopsshUsers/ADD
トップレベルでこのグループへのアクセスを拒否する:cacls c:\/c/e/t/d CopsshUsers
CopSSHインストールディレクトリへのオープンアクセス:cacls copssh-inst-dir/c/e/t/r CopsshUsers
上記のグループにCopsshユーザーを追加します:net localgroup CopsshUsers mysshuser/add
これらのコマンドを入力するだけで、コンピューターに対するアクセス許可がなく、copSSHインストールディレクトリにのみアクセスできるユーザーグループが作成されます。
これは正しくありません。Windowsディレクトリのアクセス許可を変更できないため、3番目のコマンドはWindowsフォルダへのアクセスを削除しません(ログにアクセスが拒否されたと表示されます)。どういうわけか私はWindowsフォルダの 所有権を取得 によってそれを達成し、次に3番目のコマンドを実行して、CopsshUsersがこれからWindowsフォルダに対する権限を持たないようにします。
サーバーにSSHで接続しようとしましたが、ログインできません。これはちょっとおかしいです。なぜなら、Windowsディレクトリの許可があればログインでき、それがないとログインできないからです。したがって、サーバーにSSHで接続できる場合は、Windowsディレクトリにアクセスできることがわかります。 (これは本当に本当ですか??)
簡単なタスク:sshユーザーアカウントをWINDOWSのホームディレクトリにのみアクセスするように制限し、それ以外は何もしません!
みんな助けてください!
2番目のコマンド(c:\へのアクセスを拒否する)は私には非常に怖いようです。このグループのメンバーがc:\へのすべてのアクセスを再帰的に拒否しています。プログラムは資格情報を使用して実行され、それらのプログラム(おそらくc:\ドライブにある)はc:\ドライブにあるライブラリをロードする必要があります。アクセスを拒否すると、それらのライブラリをロードできなくなり、プログラムのロードに失敗します。なぜあなたがこれをやりたいと思うのか想像できませんし、あなたがそうしたとしても何もうまくいかないとは想像できません。このルートを使用することを主張する場合は、すべてのアクセスではなく、書き込みアクセスを拒否しようとします。ただし、これにはデフォルトのアクセス許可で十分です。Usersグループのメンバーは書き込みアクセスを拒否されます(つまり、読み取りアクセスのみが許可されます)。
Unixシステムでは、これは chroot jailで実現できます。 Windowsで似たようなものを探して、私はこれを見つけました:
- http://www.winquota.com/wj/
- https://serverfault.com/questions/161507/is-there-a-windows-equivalent-to-chroot
これがまさにあなたが探しているものかどうかはわかりませんが、おそらくこれは役に立ちますか?