sftp가 비밀번호를 사용하도록 설정하고 ssh가 비밀번호를 사용하지 않도록 설정


15

ssh가 비밀번호 인증을 사용하지 않지만 sftp가 사용하도록 openssh를 사용하여 우분투에서 사용자를 설정할 수 있습니까?

나는 이것을 사용 /etc/ssh/ssh_config하도록 변경 하면 PasswordAuthentication yes사용자가 비밀번호를 사용하여 ssh 및 sftp로 로그인 할 수 있다고 가정합니다 .

편집 : 내 목적은 일부 사용자가 키 파일 대신 암호를 사용하여 sftp를 사용하도록하는 것입니다. 그러나 ssh 사용자가 암호로 로그인 할 수 없도록하고 키 파일을 사용해야합니다. 도움이된다면 sftp 사용자가 로그인 할 필요가 없으며 sftp 만하면됩니다.

답변:


26

내가 이해했듯이 (적어도이 특정 문제의 경우) SSH를 통해 로그인 할 수 있고 대화 형 쉘을 얻을 수있는 그룹 (그룹을 호출하자 )과 SFTP를 통해 로그인하고 SFTP 만 얻을 수있는 두 개의 서로 다른 사용자 그룹이 있습니다. ssh쉘 (그룹을 호출하자 sftp).

이제 그룹 생성 sshsftp사용하여 시스템을 groupadd그룹 (에서 각각의 사용자를 넣고, gpasswd -a $USERNAME $GROUPNAME마지막에 다음 줄 ()와 추가 !이 중요하다 당신의) sshd_config에 위치를 /etc/ssh/sshd_config:

Match Group sftp
  PasswordAuthentication yes
  # Further directives for users in the "sftp" group

Match Group ssh
  PasswordAuthentication no
  # Further directives for users in the "ssh" group

sshd_config (5)Match지시문 과 ssh_config (5) 의 허용 된 패턴 에 대해 읽으십시오 .

ssh이 프로세스를 적용 하려면 프로세스 를 다시 시작 해야합니다.

sudo /etc/init.d/ssh restart


6
이것은 잘 문서화되어 있지 않지만 단 하나의 Match 지시문 만 사용됩니다. 가장 구체적인 지시어를 맨 위에 놓아야합니다. sftp를 먼저 나열하면 두 그룹 모두에있는 사용자에게 PasswordAuthentication이 허용됩니다.
Tobu

감사! ssh우분투 상자 에는 이미 그룹이 있으므로 sftpsftp 사용자를 해당 그룹 에 추가 하고 추가하기 만하면됩니다. scponlysftp 사용자의 로그인을 막기 위해 사용하여 귀하의 답변을 결합 하겠습니다.
dar

2
경우 PasswordAuthentication로 설정되어 no, 최대 더욱이 여전히 일을 할 것인가? Match Groupsftp 사용자의 경우이를 무시 합니까 ? 그게 내가 가지고 있고 작동하지 않기 때문입니다. 키로 ssh 할 수는 있지만 sftp 사용자는 할 수 없습니다.
alphadogg

0

아니요, 어떻게 이것이 보안을 향상 시킬지 알 수 없으므로 요점은 무엇입니까?

authorized_keys 는 다른 키에 대해 다른 명령을 허용 할 수 있습니다. 그렇지 않으면 여러 계정을 만들고 acls 또는 sudo를 사용하는 옵션이 있습니다.


보안을 개선하려고하지 않습니다. 일부 사용자가 sftp 액세스를 위해 키 파일 대신 비밀번호를 더 쉽게 사용할 수 있도록 노력하고 있습니다. 그러나 누군가 ssh 액세스를 위해 비밀번호를 사용하지 않기를 바랍니다.
dar

@dar OK; 다른 계정. 이들이 동일한 계정 인 경우 sftp 암호를 아는 사람은 일부 프로파일 파일 (.ssh / rc, .profile, .bashrc…)을 겹쳐 쓰고 개인 키를 아는 사람과 동일한 권한을 얻을 수 있습니다.
Tobu

0

어둠 속에서 찌르지 만이 실이 흥미로울 것입니다.

SFTP 사용자를 자신의 홈 디렉토리에 투옥하는 것이 공정합니까?


PasswordAuthentication에 대한 내용이 표시되지 않습니다. 틀린 경우 수정하십시오.
dar

아니요, 맞습니다. SFTP와 SSH로 무엇을하고 싶었는지는 명확하지 않았습니다. 다른 의견에서 사용자가 SFTP에는 암호를 사용하고 SSH에는 사용하지 않기를 원합니다. 왜?
Tyler K

sftp를 사용해야하는 이들 사용자는 키 파일을 찾기가 쉽지만 암호를 입력하는 방법을 이해합니다. sftp에 대한 사용자 경험 문제로 요약됩니다. 그러나 ssh 믹스에서 암호를 유지하여 공격 노출 영역을 최소화하고 싶습니다.
dar

SFTP는 먼저 ssh 터널을 연 다음 FTP를 통해 파일을 전송하여 작동합니다. 두 사람과 이혼 할 수는 없습니다. ACL을 설정하면 가능하지만 실제로는 말이되지 않습니다.
Tyler K
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.