প্রশ্ন এসএফটিপি অনুমতি কিন্তু এসএসএইচ নিষিদ্ধ?


আমি কয়েক বন্ধু এবং সামান্য ক্লায়েন্টদের জন্য একটি খুব সামান্য হোস্টিং কোম্পানি শুরু করছি, কিছুই বড়।

আমি আমার "ক্লায়েন্টদের" সার্ভারে তাদের ফাইল পরিচালনা করার অধিকার দিতে চাই। আমি FTP কে ঘৃণা করি কারণ এটি নিরাপদ নয় এবং এটি আমার মতামত অপ্রচলিত।

তাই আমি আমার ব্যবহারকারীদের SFTP এর মাধ্যমে সংযোগ করার অনুমতি দিতে চাই কিন্তু তাদের SSH এর মাধ্যমে সংযোগ করার অনুমতি দেয় না। (আমি জানি, আমি জানি এসএফটিপি এসএসএইচ ব্যবহার করছে)। কিন্তু আমি শুধু ভাবছিলাম, এটা কি সম্ভব?

তাই সার্ভারে এফটিপি সেবা ইন্সটল করতে হবে না এবং সবকিছুই সন্ত্রস্ত হবে!


88
2018-01-28 20:40


উত্স




উত্তর:


সংস্করণ 4.9 ওপেনসএইচএইচ দিয়ে শুরু হচ্ছে (Centos 5.x তে উপলব্ধ নয় তবে ChrootDirectory বৈশিষ্ট্যটি ব্যাকপোর্ট করা হয়েছে) internal-sftp সাব-সিস্টেম:

Subsystem sftp internal-sftp

এবং তারপর অন্যান্য ব্যবহার ব্লক:

Match group sftponly
     ChrootDirectory /home/%u
     X11Forwarding no
     AllowTcpForwarding no
     ForceCommand internal-sftp

আপনার ব্যবহারকারীদের যোগ করুন sftponly গ্রুপ। আপনাকে ব্যবহারকারীর হোমডাইরেক্টরিতে পরিবর্তন করতে হবে / কারণ chroot এবং /home/user মালিকানাধীন করা উচিত root। আমি সেট করতে চাই /bin/false ব্যবহারকারীর শেল হিসাবে।


114
2018-01-28 20:46



কি দারুন! সুপার-সন্ত্রস্ত! আমি এই পরীক্ষা করে যাচাই করতে এখানে ফিরে আসব। অনেক ধন্যবাদ! - TomShreds
ChrootDirectory জিনিস জন্য +1! - Kyle Hodgson
এটি করার পরে, আমার sftponly ব্যবহারকারী ssh দ্বারা অ্যাক্সেস করতে পারবেন না এবং sftp দ্বারা সংযোগ করতে সক্ষম। তবে এটি কোনও ফাইল দেখতে পারে না! তবুও এই ফাইলগুলির জন্য এই ব্যবহারকারীর অনুমতি আছে। :-( - Emilio Nicolás
যদি আপনি এই কাজটি করতে চান এবং আপনার sshd_config এ "/ usr / lib / openssh / sftp-server" সহ একটি এন্ট্রি খুঁজে পেয়েছেন তবে এখানে চেক করুন: serverfault.com/questions/660160/...  - অভ্যন্তরীণ-Sftp "নতুন, ভাল এবং সহজ" - Xosofox


একটি শেল আছে scponly এই কি। এটা হতে পারে chroot খুব।


19
2018-01-28 21:11



আপনি SFTP ব্যবহারকারী এবং SSH ব্যবহারকারী উভয় প্রয়োজন হলে এটি দুর্দান্ত হবে। কেবলমাত্র SFTP এ সীমাবদ্ধ ব্যক্তিদের জন্য আপনি / etc / passwd শেলটি প্রতিস্থাপন করুন। - Dragos


চেকআউট rssh যা একটি জাল শেল যা sftp কে কিন্তু ssh কে অস্বীকার করে

আরএসএইচ সম্পর্কে আরো

http://www.pizzashack.org/rssh/

RPM গুলি

http://pkgs.repoforge.org/rssh/

আপনি sft, scp ইত্যাদি বিভিন্ন আচরণ অনুমতি / অস্বীকার করতে rssh কনফিগার করতে পারেন।


4
2018-02-02 13:15



খুশী হলাম। এই sshd_config স্পর্শ ছাড়া কনফিগার করার সবচেয়ে সহজ উপায়। শুধু passwd ফাইল শেল পরিবর্তন এবং সম্পন্ন। - Tomofumi


আপনি / etc / passwd পরিবর্তন করতে পারেন এবং সেই ব্যবহারকারীকে একটি জাল শেল দিতে পারেন যাতে সে ssh ব্যবহার করতে না পারে।


2
2018-01-28 20:46



আপনি কি এই পরীক্ষা করেছেন? - splattne
যখন আমি শেল সেট করার চেষ্টা করি /bin/false না ssh অথবা sftp কাজ করে - Brad Mace
/ bin / false হল লগইন যে কোনও ধরণের লগইন, এটি সঠিক পদ্ধতি নয়। রব ওয়েটার্স থেকে গৃহীত উত্তরটি কীভাবে আপনি শেল পরিবর্তন করে কেবলমাত্র SFTP ব্যবহারকারীদের সীমাবদ্ধ করতে চান তা হল। যদি আপনি শেল @ স্টোন এর অ্যাস্টন পরিবর্তন করতে চান তবে এটি একটি ভাল ধারণা হবে। - jwbensley
সুতরাং শেলটি কীভাবে ব্যবহার করা উচিত তা স্বীকার করা / bin / bash গ্রহণযোগ্য নয় এবং / bin / false বা / sbin / nologin অ্যাক্সেস অস্বীকার করে? - Putnik


আমি উল্লিখিত ব্যবহারকারী শেল হিসাবে / bin / false হিসাবে উল্লেখ করার পদ্ধতি ব্যবহার করি। যাইহোক, আপনাকে অবশ্যই / etc / shells / etc / shells এ নিশ্চিত করতে হবে। তারপর এটি ssh = কোন ftp = ঠিক আছে কাজ করে।

আমি vsftpd ব্যবহার এবং এই যোগ করুন
chroot_local_user = yes থেকে /etc/vsftpd/vsftpd.conf যাতে ftp -ers তাদের নিজের তারিখ তারিখ দেখতে না পারে।

এই সহজ পরিবর্তন উপকার প্রতিটি ব্যবহারকারীর জন্য ssh কনফিগারেশন কোন বিরক্তিকর কনফিগারেশন হয়।


1
2017-09-23 17:09





লাইন খুঁজে ভুলবেন না UsePAM yes এবং মন্তব্য করুন:

#UsePAM yes

এটি নিষ্ক্রিয় না করেই, আপনার এসএসএইচ সার্ভারটি পুনঃলোড / পুনঃসূচনা করার জন্য ক্র্যাশ করবে। যেহেতু আপনি PAM এর অভিনব ফাংশন প্রয়োজন নেই, এটি ঠিক।


1
2018-01-25 22:02





কয়েকটি নির্বাচিত ব্যবহারকারীর জন্য শুধুমাত্র sftp সক্ষম করার জন্য ssh কনফিগার করা একটি ভাল ধারণা এবং এটি সঠিকভাবে কাজ করে, আপনি যদি ইনস্টল করেন তবে scponly অথবা rssh

rssh জেল কনফিগার করার প্রয়োজন নেই, তবে এই ক্ষেত্রে CHROOT ম্যানুয়ালগুলি দ্বারা প্রদত্ত নির্দেশনা অনুসরণ করার চেষ্টা করা পাগল, যার ফলে "প্রতিটি ব্যবহারকারী কারাগার" এর নীচে কেবলমাত্র নিখরচায় সিস্টেম এক্সিকিউটেবল এবং লাইব্রেরীর বড় অংশগুলি "অনুলিপি" করে। rssh শেল নিজেই। এটি একটি স্থান-অপচয় পদ্ধতি।

scponly জেলে সেটআপের ক্ষেত্রে লগইন প্রত্যাখ্যানের বর্তমান সমস্যায় নেতৃত্ব দেওয়ার ক্ষেত্রে কনফিগারেশনে গভীর বোঝার প্রয়োজন।

জেল সঠিকভাবে কাজ করে "FTP" কার্যকারিতাগুলিকে অনুমতি দেওয়ার সহজতর উপায়, নিরাপদ লেনদেন এবং লগইন করার জন্য SSL / TLS সমর্থনটি একটি "পুরাতন-কিন্তু-কার্যকারী" VSFTPD ব্যবহার করা যা দ্রুত এবং পরিচ্ছন্নভাবে ইনস্টল করে এবং প্রয়োজনীয় হিসাবে সমস্ত কনফিগারযোগ্যতা প্রদান করে এবং শেষ কিন্তু অন্ততঃ এটি কাজ করে না!

তথ্যের।


0
2018-04-23 12:47