我运行一个运行Ubuntu Server 14.04的小型服务器,刚刚注意到用户主目录中的.ssh文件夹可以通过SMB和NFS访问。
SMB和NFS都是安全的,但是我觉得这是服务器安全方面的一个弱点,因为我只通过密钥authentication限制了对SSH的访问。
除了通过SSH之外,每个人在确保无法访问.ssh文件夹方面做了什么?
我一直在环顾四周,找不到一个普遍接受的方法。 我已经考虑限制和排除对NFS和SMB共享内的某些文件夹的访问,但这种感觉更像是一种解决方法,而不是对我的特定解决scheme。
修改Samba和/或NFS不是这里的正确解决scheme。
而是进一步限制/etc/ssh/sshd_config ssh访问权限给那些通过使用AllowGroups / AllowUsers来访问的用户。 根据您的具体情况,使用“ Match块也可能会很有趣。
您将需要在设置中configuration否决权文件。
https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html#VETOFILES
最重要的是,你应该确保这些目录的设置是600或更低。 所以没有其他用户可以执行。 但是,如果只有一个用户访问自己的主目录,风险应该是最小的。 我们不build议将整个/家庭/每个人都访问。