SFTP a bezpieczna powłoka
: 19 listopada 2011, 10:27
Witam
Mam serwer VPS dla swojej strony www. Do tej pory używałem serwera FTP dla siebie i kilku zaufanych użytkowników ale przyznam szczerze, że połączenia nieszyfrowane są "mało zabawne".
Zdecydowałem się więc pokombinować i chyba najlepszym wyborem będzie SFTP - szyfrowane, wbudowane, bez konieczności stosowania dodatkowych usług, a zarazem chyba lepiej będzie skonfigurować firewall (na poprzednim rozwiązaniu wybierał losowy port).
Sam program SFTP oczywiście działa, ale pojawia się problem związany z bezpieczeństwem całego systemu, bo dostęp do powłoki systemowej dostają dodatkowe osoby. Są one zaufane, ale wolę chuchać na zimne i zabezpieczyć to jakoś. Najlepiej byłoby, gdyby miały one dostęp do SFTP ale nie miały dostępu do powłoki - próba z:
uświadomiła mi jednak, że to zupełnie bezsensu i nierealne. Natknąłem się na informacje o powłoce jail - czy warto się tym zajmować i jeżeli tak, to gdzie zdobyć informacje jak to sensownie ogarnąć?
Ideałem byłoby dla mnie ograniczenie dostępnych dla użytkowników poleceń, np. do wget, mc, mv, rm, mkdir no i może czegoś jeszcze.
Czy da się to zrobić? Ewentualnie jakie inne rozwiązanie byłoby lepsze?
Mam serwer VPS dla swojej strony www. Do tej pory używałem serwera FTP dla siebie i kilku zaufanych użytkowników ale przyznam szczerze, że połączenia nieszyfrowane są "mało zabawne".
Zdecydowałem się więc pokombinować i chyba najlepszym wyborem będzie SFTP - szyfrowane, wbudowane, bez konieczności stosowania dodatkowych usług, a zarazem chyba lepiej będzie skonfigurować firewall (na poprzednim rozwiązaniu wybierał losowy port).
Sam program SFTP oczywiście działa, ale pojawia się problem związany z bezpieczeństwem całego systemu, bo dostęp do powłoki systemowej dostają dodatkowe osoby. Są one zaufane, ale wolę chuchać na zimne i zabezpieczyć to jakoś. Najlepiej byłoby, gdyby miały one dostęp do SFTP ale nie miały dostępu do powłoki - próba z:
Kod: Zaznacz cały
bin/false ; bin/nologinIdeałem byłoby dla mnie ograniczenie dostępnych dla użytkowników poleceń, np. do wget, mc, mv, rm, mkdir no i może czegoś jeszcze.
Czy da się to zrobić? Ewentualnie jakie inne rozwiązanie byłoby lepsze?