Meu projeto precisa que eu desative o sftp para alguns usuários, mas esses usuários ainda precisam se conectar pelo ssh. Alguém sabe como implementar isso?
Vi sugestões para alterar o arquivo em /etc/ssh/sshd_config, mas não sei ao certo o que alterar.
Respostas:
Em geral, isso é uma má prática de segurança por motivos listados por outras pessoas. No entanto, acho que o objetivo da sua tarefa é ensinar que você pode ter seções de configuração condicional com base em vários critérios.
A maneira de fazer isso é usando um Matchbloco condicional *.
Match User bob
Subsystem sftp /bin/false
Consulte sshd_config(5)a Matchseção para obter mais informações e correspondência Group.
* Há mais de uma maneira de fazer isso.
Isso não faz sentido, é segurança através da obscuridade inútil. Qualquer usuário que possa SSH poderá transferir qualquer arquivo que possa ler por meio da sessão SSH. Você também poderá escrever, se tiver permissões para fazê-lo.
Como exemplo, você pode fazer o download de / etc / passwd via ssh usando o seguinte método (nenhuma sessão scp / sftp é necessária): ssh foo@bar.com "cat / etc / passwd"> passwdcopy
Se você puder vê-lo na tela via SSH, poderá copiá-lo facilmente como um arquivo.
A única maneira de fazer sentido é se você tiver um shell restrito personalizado que imponha uma política de segurança.
No entanto, o inverso disso faz sentido (desabilitar o ssh shell, mas desabilitar o scp / sftp ativado) porque você não é capaz de executar comandos arbitrários via sftp / scp, como é possível através de um shell ssh.
PS: Estou assumindo que o shell SSH que você está concedendo é um shell padrão que permite execução arbitrária. Se esse não for o caso, consulte o seguinte: Como desativar o subsistema sftp para um usuário ou grupo específico? e dê uma olhada na opção de configuração Subsystem do sshd_config.
Match Group nosft
Subsystem sftp /bin/false
Eu prefiro usar um grupo para isso.
É útil em combinação com usuários que possuem shells restritos. Às vezes, concedo acesso ssh a um cliente para que ele possa acessar um sql-dump de seu banco de dados, definindo seu shell como um script que despeja seus dados. Cortá-los do scp também parece ser uma idéia inteligente. Eles não têm acesso à execução catpara transferir um arquivo pelo ssh.
Directive 'Subsystem' is not allowed within a Match block
É possível ativar o SFTP globalmente e desativá-lo apenas para alguns usuários.
Isso não funciona se você deseja que seu usuário receba um prompt de shell regular. Também não faz sentido, pois você pode contornar a maioria das coisas se tiver acesso ao shell. Só funcionará se você quiser dar acesso a um programa específico.
Pessoalmente, preciso disso porque quero dar acesso a alguns repositórios git sobre SSH e gosto de desativar sistemas que não são necessários. Nesse caso, o SFTP não é necessário.
Para corresponder a um conjunto de usuários, você pode configurar o SSH com a Matchpalavra - chave Do sshd_config(5)manual:
Match
...
The arguments to Match are one or more criteria-pattern pairs or the
single token All which matches all criteria. The available criteria
are User, Group, Host, LocalAddress, LocalPort, and Address. The
match patterns may consist of single entries or comma-separated
lists and may use the wildcard and negation operators described in
the PATTERNS section of ssh_config(5).
...
Alguns exemplos:
Match User eva corresponde ao usuário "eva"Match User stephen,maria corresponde aos usuários "stephen" e "maria"Match Group wheel,adams,simpsons corresponde aos grupos "roda", "adams", "simpsons"Se você quiser obter mais informações, há muitas cargas no sshd_config(5)manual.
Normalmente, você obtém o shell de login do usuário quando se conecta via SSH, mas o SSH pode ser configurado para forçar um determinado comando. O comando é forçado para qualquer conexão SSH, incluindo SFTP, e, portanto, você pode ter a opção de forçar o comando desejado.
O comando forçar pode ser configurado com a ForceCommandpalavra - chave. Do
sshd_config(5)manual:
ForceCommand
Forces the execution of the command specified by ForceCommand,
ignoring any command supplied by the client and ~/.ssh/rc if
present. The command is invoked by using the user's login shell
with the -c option. This applies to shell, command, or subsystem
execution. It is most useful inside a Match block. The command
originally supplied by the client is available in the
SSH_ORIGINAL_COMMAND environment variable. Specifying a command of
“internal-sftp” will force the use of an in-process sftp server that
requires no support files when used with ChrootDirectory. The
default is “none”.
Assim, você pode forçar o comando restrito que deseja usar ForceCommand <your command>. Por exemplo:
Match User kim
ForceCommand echo 'successful login man, congrats'
No meu caso em que desejo conceder acesso ao git, só preciso que o usuário tenha acesso git-shell. Esta é a seção que desativa o SFTP para meus usuários git, juntamente com algumas opções de segurança:
Match Group git
# have to do this instead of setting the login shell to `git-shell`,
# to disable SFTP
ForceCommand /usr/bin/git-shell -c "$SSH_ORIGINAL_COMMAND"
# disable stuff we don't need
AllowAgentForwarding no
AllowTcpForwarding no
AllowStreamLocalForwarding no
PermitOpen none
PermitTunnel no
PermitTTY no
X11Forwarding no
Você pode olhar o scponly para fazer o inverso, permitir apenas o scp / sftp, mas nenhum acesso ao shell.
Concordo com o Nathan acima, isso não faz muito sentido. Se você estiver definido, tente editar o arquivo / etc / ssh / sshd_config e remover / comentar a seguinte linha:
Subsistema sftp / usr / libexec / openssh / sftp-server
não dê nenhum diretório inicial para o usuário
usermod username -d /bin/false
Altere o subsistema sftp / usr / libexec / openssh / sftp-server no arquivo / etc / ssh / sshd_config para Subsistema sftp / dev / null / usr / libexec / openssh / sftp-server
Em seguida, reinicie o ssh
service ssh restart
funciona para mim, debian.
ownerpara acesso de saída. Isso pressupõe que você será testado com caneta por um time vermelho. Se todos os que acessam seu sistema sempre obedecem às regras e nunca têm más intenções, minha abordagem seria pesada e excessivamente complexa.