Início / unix / Perguntas / 503312
Accepted
Sollosa
Asked: 2019-02-28 03:40:44 +0800 CST

É possível conceder aos usuários acesso sftp sem acesso ao shell? Se sim, como é implementado?

  • 772

Eu tenho uma matriz de usuários que precisam apenas fazer upload de arquivos para seus homedirs definidos. Acho que o sftp seria suficiente, mas não quero que eles façam login via shell. Então é possível? Minha plataforma é centos 7, os homedirs do usuário são armazenados, digamos /personal/$user

Eu criei usuário com essas configurações

useradd -m -d /personal/user1 -s /sbin/nologin

atribuiu ao usuário um passwd, então quando eu uso o sftp para fazer login na máquina, ele diz que não é possível conectar.

sftp

4 respostas

  1. Gosto da configuração a seguir para gerenciar o acesso SSH, que usei para gerenciar um grupo de usuários em pequenas frotas de servidores. Segurança e facilidade de gerenciamento estão no topo da minha lista de prioridades.

    Seus principais recursos são o gerenciamento fácil dos direitos SSH por meio da associação ao grupo Unix, ter permissões bem definidas e ser seguro por padrão.

    Configurando

    Instale o software (opcional, mas útil):

    yum install members   # or apt install members

    Adicionar grupos:

    addgroup --system allowssh
addgroup --system sftponly

    Em /etc/ssh/sshd_config, certifique-se de que as configurações a seguir sejam No:

    PermitRootLogin no
PubkeyAuthentication no
PasswordAuthentication no

    E no final de /etc/ssh/sshd_config, adicione estas duas estrofes:

    Match Group allowssh
    PubkeyAuthentication yes

Match Group sftponly
    ChrootDirectory %h
    DisableForwarding yes
    ForceCommand internal-sftp

    (não se esqueça de reiniciar o SSH após editar o arquivo)

    Explicação

    Então, o que tudo isso faz?

    • Ele sempre desabilita os logins de root, como medida de segurança extra.
    • Ele sempre desabilita logins baseados em senha (senhas fracas são um grande risco para servidores executando sshd).
    • Ele só permite login (pubkey) para usuários do allowsshgrupo.
    • Os usuários do sftponlygrupo não podem obter um shell por SSH, apenas SFTP.

    O gerenciamento de quem tem acesso é feito simplesmente gerenciando a associação ao grupo (as alterações da associação ao grupo entram em vigor imediatamente, não é necessário reiniciar o SSH; mas observe que as sessões existentes não são afetadas). members allowsshmostrará todos os usuários que têm permissão para fazer login via SSH e members sftponlymostrará todos os usuários limitados ao SFTP.

    # adduser marcelm allowssh
# members allowssh
marcelm
# deluser marcelm allowssh
# members allowssh
#

    Observe que seus usuários de sftp precisam ser membros de ambos sftponly(para garantir que não obterão um shell) e de allowssh(para permitir o login em primeiro lugar).

    Outras informações

    1. Observe que esta configuração não permite logins com senha ; todas as contas precisam usar autenticação de chave pública. Esta é provavelmente a maior vitória de segurança que você pode obter com o SSH, então eu argumento que vale a pena o esforço, mesmo que você tenha que começar agora.

      Se você realmente não quer isso, adicione também PasswordAuthentication yesà Match Group allowsshestrofe. Isso permitirá a autenticação de chave de publicação e senha para allowsshos usuários. Como alternativa, você pode adicionar outro grupo (e Match Groupestrofe) para conceder seletivamente aos usuários logins baseados em senha.

    2. Essa configuração limita qualquer sftponlyusuário ao seu diretório inicial. Se você não quiser isso, remova a ChrootDirectory %hdiretiva.

      Se você quiser que o chroot funcione, é importante que o diretório inicial do usuário (e qualquer diretório acima dele) seja de propriedade root:roote não possa ser escrito por grupo/outro. Não há problema em que os subdiretórios do diretório inicial sejam de propriedade do usuário e/ou graváveis.

      Sim, o diretório inicial do usuário deve ser de propriedade do root e não gravável para o usuário. Infelizmente, existem boas razões para essa limitação. Dependendo da sua situação, ChrootDirectory /homepode ser uma boa alternativa.

    3. Definir o shell dos sftponlyusuários como /sbin/nologinnão é necessário nem prejudicial para esta solução, porque o SSH ForceCommand internal-sftpsubstitui o shell do usuário.

      O uso /sbin/nologinpode ser útil para impedi-los de efetuar login por outras formas (console físico, samba, etc).

    4. Esta configuração não permite rootlogins diretos por SSH; isso forma uma camada extra de segurança. Se você realmente precisa de logins root diretos, altere a PermitRootLogindiretiva. Considere defini-lo como forced-commands-only, prohibit-passworde (como último recurso) yes.

    5. Para pontos de bônus, dê uma olhada em restringir quem pode sufazer root; adicione um grupo de sistema chamado wheele adicione/ative auth required pam_wheel.soem /etc/pam.d/su.

    • 46
  2. Best Answer

    Edite seu /etc/ssh/sshd_configpara conter:

    Match User [SFTP user]
ForceCommand internal-sftp

    Reinicie sshd. Se você tiver vários usuários, coloque-os todos na linha de usuário correspondente, separados por vírgulas, assim:

    Match User User1,User2,User3

    A chave para configurar sftppara não permitir acesso ao shell é limitar os usuários por meio da ForceCommand opção.

    • 13

  3. basta alterar o shell padrão para /sbin/nologin. Assumindo a maioria das variedades de Linux:

    # usermod -s /sbin/nologin username
    • 1

  4. você pode usar tftp. qualquer coisa sobre ssh exigirá alguma autenticação (key|pass).

    embora o tftp possa ser protegido, pode valer a pena rever a decisão de fornecer acesso a qualquer coisa sem autenticação.

    http://manpages.ubuntu.com/manpages/bionic/man1/tftp.1.html

    • 0

relate perguntas