这是情况。 我有用户访问服务器和根访问相同的服务器。 我想为服务器上没有密码信息的用户编辑文件。 ssh'ing作为根被禁用,所以我通常ssh作为我的用户,然后苏根。 然后,我cd到感兴趣的主目录的用户,然后苏感兴趣的用户(提供感兴趣的用户有shell访问)。 如果用户没有对服务器的shell访问权限,我不得不以root身份修改这些文件,这让我不敢恭维。 所以我的第一个问题是,如果用户没有shell访问权限,我怎么能安全地修改用户的文件而不用root? 我的第二个问题涉及到从我的桌面使用graphicsSFTP程序将文件传输到用户的帐户。 由于我没有感兴趣的用户login信息(并且用户可能没有shell访问权限),我不能直接访问用户的帐户,也不能以root身份login。 因此,我使用我的graphicsSFTP程序来进入我的用户帐户的主目录在服务器上。 然后,我通过SFTP程序将文件传输到服务器上的用户帐户的主目录,然后以root身份从我的用户主目录手动将它们复制到感兴趣的主目录用户。 显然这是低效率的,我渴望得到更好的解决scheme。 它是什么? 注意:我意识到我可以使用命令行scp程序将文件直接转移到感兴趣的home目录的用户,但我想使用graphics化的SFTP程序。
目前许多非技术用户使用Windows上的FileZillapipe理安全数据。 因此,SFTP证书在组织中被广泛地共享。 我想集中pipe理凭据,以便用户不能直接查看它们。 使用FileZilla,证书存储在一个非encryption文件Settings.xml中。 有没有一种方法使用任何用户友好的Windows SFTP客户端来集中pipe理SFTP凭据,并防止用户直接访问凭据?
我目前在Linux服务器上设置Apache,需要创build一个新的用户,可以login,只能编辑特定目录中的文件。 我目前有我的网站设置为 /数据/ htdocs中/ mywebsite / 这个权限是apache:apache 现在我需要做的是创build一个新的用户“joeblogs”,并限制此用户只能访问/ data / htdocs / mywebsite / store / 用户应该可以SSH和SFTP,但总是直接导向到这个文件夹,用户也应该能够完全访问/存储/文件夹,但无法看到任何其他文件夹或文件系统/ 任何帮助,将不胜感激,我一直在圈了几个小时。
这可能是我以前(未回答)问题的延续,因为潜在的原因可能是相同的。 我有一个运行nginx和sshd的Linux服务器。 这是一个共享的100mbit / s的无限量的链接。 在“高峰时段”(基本上,在美国白天),SFTP性能变得非常糟糕,有时甚至在连接之前就超时。 ssh不受影响。 我知道这是nginx,因为当我停止nginx时,sftp的问题会立即消失。 然而,在这些“事件”中,nginx本身基本上没有延迟。 这是我的服务器一个长期存在的问题,我最近着手处理一劳永逸。 昨天我开始怀疑,由于缺乏上行带宽导致的大量的httpstream量以及更大的延迟导致了我的stream量。 我用tc来添加一些优先级: /sbin/tc qdisc add dev eth1 root handle 1: prio /sbin/tc filter add dev eth1 protocol ip parent 1: prio 1 u32 match ip dport 22 0xffff flowid 1:1 /sbin/tc filter add dev eth1 protocol ip parent 1: prio 1 u32 match ip sport […]
没有简单的方法来跟踪SSH和SFTP的实时每用户带宽使用情况。 我认为给每个用户分配一个端口可能会有帮助,但是我想知道我的方法是否可行。 用例 带有UID 1001的鲍勃应在端口31001上连接。 具有UID 1002的Alice将在端口31002上连接。 约翰,UID 1003,应连接港口31003。 (我不想提出问题247291中提出的几个sshd实例。) 1.设置SFTP: 在/etc/ssh/sshd_config : Port 31001 Port 31002 Port 31003 Subsystem sftp /usr/bin/sftp-wrapper.sh 只有当端口是正确的时,文件sftp-wrapper.sh启动sftp服务器: #!/bin/sh mandatory_port=3`id -u` current_port=`echo $SSH_CONNECTION | awk '{print $4}'` if [ $mandatory_port -eq $current_port ] then exec /usr/lib/openssh/sftp-server fi 2. SSH的其他设置: /etc/profile几行防止用户连接到错误的端口: if [ -n "$SSH_CONNECTION" ] then mandatory_port=3`id -u` current_port=`echo $SSH_CONNECTION […]
好吧,我几乎是全新的Linux和Apacheconfiguration。 我的问题是我有Apache显示默认页面,但是当我尝试通过sFTP访问它告诉我,当写入/ var / www / html写入权限被拒绝。 我可以通过fileZillalogin到服务器。 当我使用命令ls -l / var |时 grep www(我认为这是你如何检查权限),并返回“drwxr-xr-x 6 root root 4096 Jul 15 7:18 www”。 我一直在阅读,显然www数据应该是根源,但我不知道。 我正在通过.pem文件通过ec2用户访问。 我想我应该把我的用户添加到负责HTML文件夹的组,但它看起来像它的根,所以我只是不知道什么是错的。 关于如何解决这个问题的任何想法? 最好安全。 编辑 我可以使用相同的设置写入/ home / ec2-user目录。 所以我猜我只需要添加ec2用户到某个组? 我没有一个名为万维网数据像一些build议我应该听起来像给ec2用户root权限是不好的build议。 可能是错的。
我在我的机器上运行一个ssh服务器,并且限制只有internal-sftp&ChrootDirectory才能访问某些用户的sftp。 我需要的是在用户进行chroot之前执行脚本的一种方法。 实际上,目标是在客户端连接上安装一个encryption的文件系统,然后将其卸载。 Thx提前。
我想loggingSFTP命令到一个单独的文件,但它只适用于root但不适用于chroot用户: # cat /etc/ssh/sshd_config … Subsystem sftp internal-sftp -l INFO Match Group user1 ChrootDirectory /chroot ForceCommand internal-sftp -l INFO AllowTcpForwarding no X11Forwarding no – 默认设施根据手册页是AUTH # cat /etc/rsyslog.d/sshd.conf auth.* /var/log/sftp.log – tail -F /var/log/secure /var/log/sftp.log ==> /var/log/secure <== Dec 27 12:35:09 lab sshd[43014]: Accepted publickey for root from 192.168.1.100 port 44706 ssh2 Dec 27 12:35:09 […]
我们正在寻找我们现有的解决scheme,并与一个更简单(便宜得多)的SFTP服务器,以便与客户进行文件交换。 我们的networking由可信和DMZnetworking组成。 目前的产品已经涵盖了双方托pipe服务器,并照顾桥接本身。 我们正在切换到WinSSHD,但不确定有关服务器的位置,DMZ与可信任。 我们正处于金融领域,正在寻求最佳实践的指导,或者是满足我们要求的更好select。 当然,我们应该把它放在非军事区,但是我们必须弄清楚如何把文件从那里移到可信区。
我们目前在我们的SSH服务器上使用了2因素身份validation,所以我们在sshd_config(公钥为key,键盘交互是通过PAM处理的2factor)中有“RequiredAuthentications2 publickey,keyboard-interactive” 为了使我们的开发更容易,我们要禁用sftp子系统的2因子要求。 我已经search了“匹配子系统sftp”(比如可用的“匹配组”,在那里我只能在后面定义“RequiredAuthentications2 publickey”,但似乎这是不可能的。 另一件事我看看是否检查PAM,如果有可能为sftp子系统定义一个单独的configuration(这似乎是不可行的,pam的服务总是'ssh'),或者如果我能有东西我的sshd pam conf像“auth [成功= 1默认=忽略] pam_succeed_if.so安静子系统在sftp” 任何提示? (除了另外设置另一个sshd实例只用于sftp)