안전한 SFTP 서버를위한 파일 시스템 보안

이것은 개발 질문으로 보이지 않을 수도 있지만 본질적으로 그렇습니다. 방법을 설명하겠습니다. 우리의 주요 개발 초점은 동적 컨텐츠 페이지입니다. 일부 고객은 이전 정적 콘텐츠에 대해 서버에서 비용을 지불 할 공간을 허용하도록 요청했습니다. 고객에게 다른 도메인에 ftp 계정을 제공하여이를 수행합니다. (예 : 고객 도메인은 customer.com이지만 otherdomain.com/customerstatic을 통해 정적 콘텐츠에 액세스하고있었습니다).

이제 고객은 Linux 서버에서 sftp 계정을 제공하는 보안을 강화하고자합니다. 쉘 환경에서 openssh / sftp-server를 사용하여 로그인하거나 명령을 실행할 수 없습니다.

문제는 기본적으로 많은 파일 시스템 파일이 기본적으로 (drwxr-xr-x)이므로 모든 사용자가 디렉토리의 내용과 일부 파일을 읽을 수 있다는 의미입니다. 읽기 권한이 필요한 시스템 파일 수를 알지 못하므로 전체 파일 시스템을 -rwxr-x--x로 변경하는 것이 현명한 방법이라고 생각하지 않습니다.

과거에 누군가이 문제에 직면하게했습니다. 있다면 길을 밝힐 수 있습니까?

감사

SFTP는 본질적으로 안전하지 않습니다. 그것들을 전체 파일 시스템으로 보내는 것입니다. chroot 기반으로 SFTP 액세스를 활성화하는 방법을 확인하려면 홈 디렉토리 또는 업로드하려는 위치에 액세스 할 수있는 디렉토리를 잠급니다.

Linux에서는이 부분 (/ etc / ssh / sshd_config 구성)에주의를 기울입니다.

  Match Group sftponly
         ChrootDirectory %h
         ForceCommand internal-sftp 
         AllowTcpForwarding no

이는 'sftponly'사용자 그룹의 모든 사용자가 자신의 홈 디렉토리로 제한됨을 의미합니다.

자세한 내용은 링크를 참조하고 sshd_config 맨 페이지도 참조하십시오. 희망이 도움이됩니다.

관심이있을 수 있습니다-http: //sublimation.org/scponly/wiki/index.php/Main_Page

일부 사용자를 scp로만 제한하고 선택적으로 chroot 할 수 있습니다.

"많은 파일 시스템은 기본적으로 755 권한입니다"라고 말하면 실제로 기본 umask 가 022로 설정되어 있음을 의미합니다 . umask를 027로 설정하여이 기본값 (새 파일의 경우)을 변경할 수 있습니다. umask를 007로 설정하면 기본 권한이 770이됩니다.

OpenVZ 서버를 설정 한 다음 각 회사마다 별도의 작은 VM ftp / sftp '컨테이너'를 작성하는 것을 고려할 수 있습니다. 이것은 그것들을 모두 분리하여 유지하고 OpenVZ를 끊으면 이런 작은 것들에 정말 편리합니다.