Administrace komentářů

Zdravím,

když už jsem byl v té zabezpečovací horečce, tak jsem začal zajímat o SFTP. Připadal jsem si jako Alenka v říši divů, když jsem asi po dvou minutách přišel na to, že celý vtip spočívá v tom stáhnout si klienta (v mém případě WinSCP) a přihlásit se pod normálním uživatelem, ftp démon k tomu není potřeba, stačí pouze OpenSSH server...

WinSCP umožňuje naprosto stejné zabezpečovací mechanismy jako klasický SSH klient (v mém případě PuTTY), tedy vč. klíčů. Na kolik si myslíte, že je bezpečné pomocí takového klienta se přihlašovat přímo pod rootem? IMHO v tom není rozdíl, protože je to klasické SSH spojení akorát s tím rozdílem, že tohle se zaměřuje pouze na práci se soubory. Nicméně předpokládám, že pro běžnou práci (uploadování a úpravy produkčních dat) doporučujete vytvořit uživatele s právy pouze pro tyto data, že? ;)

Existuje nějaké finta jak zakázat ftp přihlášení globálně všem a povolit jenom vybrané a nebo je nutné každého uživatele, který se má přihlašovat pouze přes SFTP připsat do /etc/ftpusers?

Při psaní tohoto slohového útvaru mi nově došlo, že uživatel co chce užít služeb SFTP musí být v /etc/sshd_config připsaný v AllowUsers a musí mít validní shell (a to je taky důvod, proč to například de facto žádný hosting moc nenabízí). Tudíž je vhodné běžným uživatelům dávat pouze ftp-only účty (navíc chrootnuté do jejich home, aby nešmejdili po systému) a pro přístup jak ke vlastním produkčním datům plus (produkčním) datům uživatelů (pokud je to podle vás "neprasácké" řešení) použít roota a nebo druhého uživatele, který bude mít home v kořenu toho adresáře, kde budou produkční data plus home ostatních ftp-only uživatelů?

Díky