Restricción de OpenSSH para permitir cargas solo a ciertos directorios
https://stackoverflow.com/questions/622903
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Necesito ejecutar copias de seguridad de varios servidores en una sola cuenta en otro servidor. Si uno de los servidores públicos está comprometido, no quiero que se comprometan los archivos del otro servidor en la cuenta de respaldo.
Lo que debo hacer es permitir que SCP acceda a un directorio específico, en función de la clave ssh de las conexiones entrantes.
Sé que puedo establecer el shell y varias opciones por clave en el archivo authorized_keys. http://www.manpagez.com/man/8/sshd/ ( Desplácese hacia abajo hasta " AuthorizedKeysFile ")
Lo que no sé cómo configurar el comando internal-sftp para usar solo un determinado directorio. No tengo root en la máquina, por lo que no puedo hacer el normal-sftp + chroot.
Solución
No funciona de esa manera.
Lo que debe hacer es configurar una cárcel de mini chroot para cada host de respaldo. Solo necesita poder ejecutar sh y scp (/ dev solo necesita la entrada / dev / null).
Use jailsh como el shell de inicio de sesión para cada cuenta.
Jailsh es un shell de inicio de sesión suid-root que establece chroot jail en el directorio marcado por dos barras diagonales consecutivas, quita privilegios de root y execs / bin / sh.
