configuration:Debian Lenny Apache2
我已经configuration了SSH“ PermitRootLogin no ”,并创build了另一个用户login和做“ 苏 ”。
现在我想通过SFTP连接例如Filezilla。 我可以通过创build一个只能访问“ / var / www ”的用户来做到这一点(我所有的网站都在这里,例如“ /var/www/domain.com ”)
但是,这难道不会打败使用“ 苏 ”的想法吗? 当然,在这种情况下,“ su ”将确保其他所有内容,但“ / var / www ”不会获得额外的保护。 我之所以首先创build“ su ”设置,是为了更好地保护我的网站。
顺便说一下,我是唯一一个将东西上传到服务器。
我错过了什么?
在这里,我概括了客户端和服务器的最佳configuration:
http://wiki.gilug.org/index.php/How_to_mount_SFTP_accesses
(特别关心用户和权限)
你所缺less的是通过sshlogin时了解su是什么意思,以及如何以encryption的方式传输文件。 你在这里混淆了几个想法。
通过拒绝通过ssh进行rootlogin,你已经做了正确的事情。 这将限制暴力攻击,并让你(因为你需要通过使用sudo或su来提升你的特权)做出不必要的错误。
通过sftp进行访问不会给你通过ssh的su相同的权限。 它保证你的密码不会被清晰地发送,而且你的文件传输是安全的。
我要在这里出去,也build议你在linux文件权限(用户和组)上进行search。 理解这些将帮助你保护你的networking服务器,并帮助你理解为什么有一个可以su的用户并不意味着你的服务器本质上是不安全的。
您可以使用扩展ACL来仅允许您的用户对目录(使用setfacl )进行写入访问。 这也有利于将未来的用户添加到其中。
或者,你可以把你的UID所属的目录做成组,然后使它成为可写的,但是我认为这不是一个像上面那样干净的解决scheme,如果你的网站需要写入,你可能会遇到问题作为(大概)Apache用户的任何东西。