OpenSSH'yi yalnızca belirli dizinlere yüklemeye izin vermek için kısıtlama

Question

Birden çok sunucudan yedekleri başka bir sunucudaki tek bir hesaba çalıştırmam gerekiyor. Genel sunuculardan biri ele geçirilirse, diğer sunucunun yedekleme hesabındaki dosyaların güvenliğini istemiyorum.

Yapmam gereken yalnızca gelen bağlantıların ssh anahtarını temel alarak SCP'nin belirli bir dizine izin vermesidir.

Yetkili_Anahtarlar dosyasında, her temelde kabuk ve çeşitli seçenekleri ayarlayabildiğimi biliyorum. http://www.manpagez.com/man/8/sshd/ (Aşağı ilerleyin "AuthorizedKeysFile")

Yalnızca belirli bir dizini kullanmak için internal-sftp komutunu nasıl ayarlayacağımı bilmiyorum. Makinede root yok, bu yüzden normal internal-sftp + chroot'u yapamıyorum.

Answer 1

Bu şekilde çalışmıyor.

Yapmanız gereken her yedekleme sunucusu için bir mini chroot hapishanesi kurmaktır. Sadece sh ve scp (/ dev sadece ihtiyaçları/dev/null girişi) çalıştırabilmek gerekir.

Her hesap için giriş kabuğu olarak jailsh kullanın.

Jailsh, iki ardışık eğik çizgi tarafından işaretlenmiş dizine chroot hapishanesini ayarlayan, root priv'lerini düşüren ve/bin/sh komutunu çalıştıran bir suid root giriş kabuğudur.