根 。 我在我的局域网上运行一个Ubuntu 9.04(家庭)服务器。 我目前使用它来存储小web应用程序,照片,一些Subversion版本库和类似的东西。 我的(less数)用户是我的朋友,我总是为他们提供了一个监禁的FTP访问他们的主目录。 现在,最近我意识到FTP不太安全,因为build立连接时密码没有被屏蔽,因此很容易被窥探。
我决定使用SFTP解决这个问题,但是有一个问题让我想知道,我需要你的意见。
使用SFTP访问文件系统取决于SSH设置。 所以为了把用户关在SFTP的主目录下,我也必须在使用SSH的时候把它们关了起来,我的问题是:这是一个理想的configuration吗? 这不是对UNIX用户常识权限的限制吗?
还有一个第二个问题,那就是在Ubuntu 9.04 Server下有一个简单的方法来完成这个任务吗?
谢谢Tommaso
在大多数情况下,使用ssh对用户进行chroot 并不是一个理想的configuration。 当他们入狱时,他们将无法在他们的家庭之外使用任何程序。 这使得unix几乎不能用作shell服务器。
您可以使用FTPS而不是SFTP / SCP,它将通过SSL发送密码,但使用ssh服务器,允许您将它们作为文件传输而不是用于login(尽pipe如果您只是根据文件传输进行转换,他们仍然能够从机器scp数据)。
如果他们已经有了不喜欢的ssh访问权限,那么即使你可以这样做,通过限制sftp也没有什么好处。
当然,chroot ftp服务器有一个很好的理由,但是如果我已经有了ssh访问整台机器的权限,那么对于我来说sftp访问没有任何额外的安全风险。
您应该强制用户使用rsft(受限shell)来使用sftp。 这与其他正常的安全步骤(基于密钥的身份validation)相结合,你会相当安全。
我使用MySecureShell来限制每个用户账户的SFTP连接。