SSH 셸 액세스는 사용하지만 SFTP 액세스는 사용하지 않도록 설정

나는이 질문에 대한 실용적인 답변을 찾았으며 대부분의 답변에는 왜하지 않는지에 대한 조언이 포함되어 있습니다. 그러나 시나리오는 다음과 같습니다.

콘솔 앱이 있고 각 사용자의 .profile에는 앱에 대한 시작 명령이 있으며,이 명령을 시작한 명령 바로 뒤에 "exit"명령이있어 시스템에서 로그 아웃합니다. 나는 그들이 제공 한 인터페이스를 통해이 콘솔 앱에 액세스 할 수 있기를 원합니다. 시작시 앱은 사용자에게 앱을 통해 액세스 할 수있는 클라이언트 목록을 제공하며 각 클라이언트에는 고유 한 데이터 디렉토리가 있습니다. 사용자에게는 액세스 권한이 필요한 클라이언트 만 액세스 할 수 있습니다.

이제 문제가 있습니다 : 사용자에게 SSH 액세스 권한을 부여하면 SFTP 클라이언트를 사용하여 로그인 할 수도 있습니다 .SFTP 클라이언트는 앱의 데이터 디렉토리에 직접 액세스 할 수 있습니다. 이는 매우 바람직하지 않습니다. 액세스 할 수없는 데이터 디렉토리에 액세스합니다.

이것은 telnet / FTP 조합을 사용할 때 수행해야 할 간단한 일이지만, 인터넷의 어느 곳에서나 사용자에게 액세스를 제공하고 싶기 때문에 SFTP에서 사용자를 종료하는 방법을 찾을 수 없었습니다. 여전히 앱을 실행할 수있는 셸에 액세스 할 수 있습니다.

편집하다:

확실하지 않은 경우 다음 대답은 서버에 대한 셸 액세스 권한이있는 사람이 SFTP를 사용하지 못하도록 하는 안전한 방법 이 아닙니다 . 외부 가시성에서 비활성화하는 방법을 설명하는 답변 일뿐입니다. 사용자 수준 보안에 대한 자세한 내용은 @cpast 및 @Aleksi Torhamo의 답변을 참조하십시오. 보안이 당신의 초점이라면,이 대답은 올바른 것이 아닙니다. 단순한 서비스 가시성이 당신의 초점이라면, 이것이 당신의 대답입니다.

우리는 이제 원래의 대답을 계속합니다.

sshd_config에서 sftp 지원을 주석 처리하십시오 (물론 restart sshd).

#Subsystem sftp /usr/lib/openssh/sftp-server

다른 사람들이 언급했듯이, 비활성화 sftp는 충분하지 않습니다. ssh액세스 가 제한되지 않은 사용자 는 자신의 계정이 볼 수있는 권한이있는 파일을보고, 수정할 권한이있는 파일을 수정할 수 있으며, 자신이 읽을 수있는 모든 것을 쉽게 다운로드 할 수 있습니다 기계. 이 작업을 수행하지 못하게하는 유일한 방법은 실제로 액세스를 제한하는 것입니다. 또한 .profile사용자를 제한 하지 않는 것이 이상적이지 않습니다. (편집 : Aleksi가 그의 답변에서 언급했듯이 실제로 우회 .profile하는 것은 사소한 일 .profile이 아닙니다. 문제는 보안이 아닌 편의를위한 것이므로 그렇지 않습니다. 보안을 위해 아래의 것들과 같은 보안을 위해 설계된 것들을 사용하십시오).

이를 수행하는 두 가지 기본 방법이 있습니다. 파일 권한을 통해 제한하거나 콘솔 앱만 강제로 실행할 수 있습니다. 두 번째 방법은 더 낫습니다. 콘솔 앱으로 제한되어야하는 사용자를 그룹에 할당하십시오 (예 :) customers; 그런 sshd_config다음에 다음 행을 추가하십시오.

Match Group customers
ForceCommand /path/to/app

이 작업은 해당 그룹의 사용자로부터의 모든 연결이 콘솔 앱을 열도록합니다. sftp서버 도구를 포함하여 다른 어떤 것도 시작할 수 없습니다 . 이것은 또한 아무것도에서 그들을 중지 다른 시스템과,과는 달리 .profile그렇게 (SSH 서버 자체를 사용하여 않는 .profile, 쉘에서 그 제한을 ForceCommand또한 쉘을 시작 포함하지 않는 다른 일을 방지). 또한 이와 달리 .profile이것은 보안으로 설계되었습니다 . 악의적 인 사용자가 자신을 회피하는 것을 막기 위해 만들어졌습니다.

(아마도 열등한) 대안은 콘솔 앱을 실행할 새 사용자를 만드는 것입니다. 그런 다음 데이터 디렉토리를 해당 사용자로 제한하고 해당 사용자가 소유 한 콘솔 앱을 설정 u+s한 후 프로그램에서 설정 하십시오. 이것은 setuid비트입니다. 콘솔 프로그램을 실행하는 사람은 프로그램 소유자의 권한으로 그렇게합니다. 그렇게하면 사용자는 디렉토리에 액세스 할 수 없으며 프로그램을 통해서만 디렉토리를 이용할 수 있습니다. 그러나 모든 프로그램이 "이 프로그램 만 실행" ForceCommand하도록 제한 하기 때문에을 사용해야 합니다.

.profile보안을 제공하지 않으며 정확히 아무것도 제한 하지 않으므로이 작업을 수행하지 마십시오 !

.profile다음과 같이 ssh 명령 행에서 실행할 명령을 제공하여이를 무시할 수 있기 때문에 입력 한 내용은 중요하지 않습니다 ssh user@host command. 여전히을 수행하여 일반적인 쉘 액세스를 얻을 수 있습니다 ssh -t user@host bash.

다른 답변에서 언급했듯이 sftp 하위 시스템을 비활성화해도 전혀 도움이되지 않습니다. 서브 시스템은 본질적으로 명령의 별명 일 뿐이며을 사용하여 sftp를 정상적으로 사용할 수 있습니다 sftp -s /path/to/sftp-executable user@host.

cpast와 일부 주석 작성자가 말했듯이 액세스를 제한하기 위해 적절한 메커니즘을 사용해야합니다. 그건,

• 사용 ForceCommand에sshd_config
• 암호없이 로그인 및 사용 command="..."에를.ssh/authorized_keys
• 사용자의 쉘을 사용자가 할 수있는 것을 제한하는 것으로 변경

노트:

• command="..." 하나의 키에만 적용되므로 암호 또는 다른 키를 사용하는 사용자의 SSH 로그인을 제한하지 않습니다.
• 포트 포워딩 등을 제한하고 싶을 수도 있습니다 (포트 포워딩, x11 포워딩, 에이전트 포워딩 및 pty 할당은 내가 들었던 것입니다)
  • AllowTcpForwarding 등 sshd_config
  • no-port-forwarding 등 .ssh/authorized_keys
• 다른 데몬 (FTP와 같은)이 실행중인 경우, 사용자가 해당 데몬을 허용하지 않는지 확인해야합니다 (일부 데몬은 사용자의 쉘을 기반으로이 결정을 내림)
• 사용자의 쉘을 원하는 작업을 수행하는 스크립트로 변경할 수 있습니다. 그것은 인수없이 실행되거나script -c 'command-the-user-wanted-to-run'
• 모두 ForceCommand와 command="..."사용자의 쉘이 예로 설정되어있는 경우가 일을하지 않도록, 사용자의 쉘을 통해 명령어를 실행합니다. /bin/false또는/sbin/nologin

면책 조항 : 나는 결코 문제에 대해 전문가 .profile가 아니기 때문에 그 물건이 안전하지 않다고 말할 수 는 있지만, 내가 모르는 다른 방법과 함께 어떤 "gotcha"가 없다고 약속 할 수는 없습니다. 약. 그들은 내가 아는 한 안전하지만 인터넷에서 처음 잘못한 사람은 아닙니다.

SSH를 활성화하고 전체 및 사용자 / 그룹별로 SFTP를 비활성화 할 수 있습니다.

SSH를 통해 일부 자식 리포지토리에 액세스하고 싶기 때문에 개인적으로 필요하며 필요하지 않은 시스템을 비활성화하고 싶습니다. 이 경우 SFTP가 필요하지 않습니다.

전 세계적으로

몇 가지 방법으로 모든 사용자에 대해 SFTP를 비활성화 할 수 있습니다.

누락 된 서브 시스템

SSH에서 사용하는 SFTP 데몬은 Subsystem키워드를 통해 구성 할 수 있습니다 . 로부터 sshd_config(5)수동 :

Subsystem
        Configures an external subsystem (e.g. file transfer daemon).
        Arguments should be a subsystem name and a command (with optional
        arguments) to execute upon subsystem request.

        The command sftp-server(8) implements the “sftp” file transfer
        subsystem.

        Alternately the name “internal-sftp” implements an in-process
        “sftp” server.  This may simplify configurations using
        ChrootDirectory to force a different filesystem root on clients.

        By default no subsystems are defined.

마지막 줄은 "sftp"에 대한 서브 시스템을 정의 할 수 없을 것임을 제안합니다.

거짓 거짓말

SSH에서 사용하는 SFTP 데몬을 사용할 수없는 것으로 설정하여 SFTP를 비활성화 할 수도 있습니다. 예를 들어, "sftp"서브 시스템을 /bin/false다음 과 같이 구성하십시오 .

Subsystem sftp /bin/false

SFTP를 통해 로그인을 시도하면 SSH 데몬이 "sftp 데몬"을 생성하려고 시도합니다 /bin/false. /bin/false프로그램은 하나의 일을, 그 오류 코드를 반환하는 것입니다. SFTP 연결 시도가 효과적으로 거부되었습니다.

사용자 / 그룹당

사용자, 그룹 또는 몇 가지 다른 기준별로 SFTP를 비활성화 할 수도 있습니다.

사용자에게 일반 쉘 프롬프트를 표시하려는 경우에는 작동하지 않습니다. 쉘 액세스 권한이 있으면 대부분의 항목을 우회 할 수 있으므로 의미가 없습니다. 특정 프로그램에 대한 액세스 권한 만 부여하려는 경우에만 작동합니다.

어울리는

사용자 세트와 일치시키기 위해 Match키워드를 사용하여 SSH를 구성 할 수 있습니다 . 로부터 sshd_config(5)수동 :

Match
        ...

        The arguments to Match are one or more criteria-pattern pairs or the
        single token All which matches all criteria.  The available criteria
        are User, Group, Host, LocalAddress, LocalPort, and Address.  The
        match patterns may consist of single entries or comma-separated
        lists and may use the wildcard and negation operators described in
        the PATTERNS section of ssh_config(5).

        ...

몇 가지 예 :

• Match User eva "eva"사용자와 일치
• Match User stephen,maria "stephen"및 "maria"사용자와 일치
• Match Group wheel,adams,simpsons "바퀴", "아담", "심슨"그룹과 일치

자세한 정보가 필요하면 sshd_config(5)매뉴얼에 로드가 있습니다.

강제 명령

일반적으로 SSH를 통해 연결하면 사용자의 로그인 쉘이 표시되지만 특정 명령을 강제 실행하도록 SSH를 구성 할 수 있습니다. SFTP를 포함한 모든 SSH 연결에 대해 명령이 강제 실행되므로 원하는 명령을 강제 실행하는 옵션이있을 수 있습니다.

ForceCommand키워드 로 강제 명령을 구성 할 수 있습니다 . 로부터 sshd_config(5)수동 :

ForceCommand
        Forces the execution of the command specified by ForceCommand,
        ignoring any command supplied by the client and ~/.ssh/rc if
        present.  The command is invoked by using the user's login shell
        with the -c option.  This applies to shell, command, or subsystem
        execution.  It is most useful inside a Match block.  The command
        originally supplied by the client is available in the
        SSH_ORIGINAL_COMMAND environment variable.  Specifying a command of
        “internal-sftp” will force the use of an in-process sftp server that
        requires no support files when used with ChrootDirectory.  The
        default is “none”.

따라서 사용하려는 제한 명령을 강제로 실행할 수 있습니다 ForceCommand <your command>. 예를 들면 다음과 같습니다.

Match User kim
        ForceCommand echo 'successful login man, congrats'

예

git 액세스 권한을 부여하려는 경우 사용자에게만 액세스 권한이 필요합니다 git-shell. 다음은 일부 보안 옵션과 함께 내 git 사용자에 대해 SFTP를 비활성화하는 섹션입니다.

Match Group git

        # have to do this instead of setting the login shell to `git-shell`,
        # to disable SFTP
        ForceCommand /usr/bin/git-shell -c "$SSH_ORIGINAL_COMMAND"

        # disable stuff we don't need
        AllowAgentForwarding no
        AllowTcpForwarding no
        AllowStreamLocalForwarding no
        PermitOpen none
        PermitTunnel no
        PermitTTY no
        X11Forwarding no