Ограничаване на потребителските акаунти в Linux

r.stefanov

Well-Known Member
Днес помагах с конфигурирането на няколко сървъра на мой познат. Останах доста изненадан когато видях, че акаунти, които нямат нужда от ssh достъп си седяха с /bin/bash. Още по-странно беше, че когато го попитах умишлено ли е, той вдигна рамене :D Та, изчетох му едно кратко конско и седнахме да го оправим за 5 минути.

За това написах кратка статия как става номера с ограничаването, по-скоро забраняването на ssh достъпа.

Няма да водя и с вас същият разговор защо е по-добре да е така или защо имайки една идея повече пречки пред злосторниците ще спести главоболя в бъдеще. Принципа, който спазвам аз тук е - ако на някой не му трябва достъп до нещо, по-добре е да го няма. Не е знае кой ще се докопа до паролите му.
 
От: Ограничаване на потребителските акаунти в Linux

:) само се моли някой от неговите клиенти да не ползва SFTP вместо FTPS, че ще хленчи.
 
От: Ограничаване на потребителските акаунти в Linux

:) само се моли някой от неговите клиенти да не ползва SFTP вместо FTPS, че ще хленчи.

Че какъв е проблема с nologin да има sftp? Може и с отделен шел примерно rssh. Само че в неговия случай не му трябва.
 
От: Ограничаване на потребителските акаунти в Linux

Силно препоръчвам използването на sftp, вместо ftp, поради следните причини:
- Връзката е критпирана, а не 'plain', както при ftp.
- Няма нужда да инсталирате и конфигурирате FTP сървър, да настройвате клиенти и какъв достъп да имат те, което е спестяване на време.
- Системата ще е по-малко натоварена, след като няма отделен FTP сървър.
- Сигурността ще е подобрена, след като няма да има допълнителен daemon, който има възможност да бъде пробит.

Ограничаването на шех входа с nologin ограничава и sftp, тъй като sftp е протокол за обмяна на файловете през SSH протокола.
FTP - File Transfer Protocol
SFTP - SSH(Secure Shell) File Transfer Protocol

Без SSH достъп няма и SFTP достъп.

Написах тема, от която можете да разберете как да се защитите до известна степен от злоупотребяващи потребители. http://www.predpriemach.com/showthread.php?t=43163
 
Последно редактирано:
От: Ограничаване на потребителските акаунти в Linux

Сигурен ли си? :)

Без SSH достъп няма и SFTP достъп.


groupadd sftpusers

useradd -g sftpusers -d /incoming -s /sbin/nologin guestuser

passwd guestuser

grep guestuser /etc/passwd

Код:
guestuser:x:500:500::/incoming:/sbin/nologin

usermod -g sftpusers -d /incoming -s /sbin/nologin john

vi /etc/ssh/sshd_config

Код:
Subsystem       sftp    internal-sftp

Код:
Match Group sftpusers
        ChrootDirectory /sftp/%u
        ForceCommand internal-sftp

mkdir /sftp

mkdir /sftp/guestuser

mkdir /sftp/guestuser/incoming

chown guestuser:sftpusers /sftp/guestuser/incoming

ls -ld /sftp/guestuser/incoming

Код:
drwxr-xr-x 2 guestuser sftpusers 4096 Dec 28 23:49 /sftp/guestuser/incoming

service sshd restart

8)

http://www.thegeekstuff.com/2012/03/chroot-sftp-setup/

Това е само пример де, не ми се пише отделна статия. Може да се използва и /bin/false [ echo '/bin/false' >> /etc/shells ]
 
От: Ограничаване на потребителските акаунти в Linux

Много добро, не го знаех това. Изключително полезно, благодаря ти!
 

Горе