데비안 스 테이블을 실행 중이며 'sftponly'그룹의 사용자를 위해 다음 환경을 구축하려고합니다.
- 투옥
- SFTP로 전송할 수 있습니다
- SCP와 함께 전송할 수있다
- SSH로 대화식으로 로그인 할 수 없습니다
내 실험과 연구에서 sshd_config의 다음 스탠자가 90 %를 얻는 것으로 보입니다.
Match group sftponly
ChrootDirectory /sftp/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
이것은 SFTP를 수감하고 SSH를 제공하지 않습니다. 그러나 또한 SCP를 사용하지 않도록 설정합니다. 대부분의 클라이언트는 SFTP (두 프로토콜을 모두 지원하는 서버) 대신 SCP를 사용하는 레거시 스크립트 프로세스이므로 이러한 클라이언트는 우리가 통제 할 수없고 쉽게 관리 할 수 없기 때문에 이상적이지 않습니다. 수정하면 SCP를 완전히 비활성화하는 것이 실용적이지 않을 수 있습니다.
들어오는 SCP 연결로 인해 sshd가 사용자의 로그인 셸을 통해`scp '프로세스를 생성하기 때문에이 구성은 SCP를 비활성화합니다. SFTP의 경우에도 마찬가지입니다. 특수한 'internal-sftp'핸들러가 아니라면 SFTP에서도 마찬가지입니다.
그래서 내 질문은 : scponly 및 rssh와 같은 타사 도구를 사용하지 않고 'internal-sftp'와 동일한 효과를 얻을 수있는 방법이 있습니까? 'internal-sftp'에 대한 정말 좋은 점은 지원 파일로 감옥을 설정하거나 잠재적으로 악용 가능한 타사 setuid 바이너리를 처리 할 필요가 없다는 것입니다 (특히 rsh는 악용 내역이 있음).