SSH를 통한 루트 액세스 가능 파일의 안전한 원격 편집

8

보안 모범 사례에 따라 비밀번호 또는 키를 사용하여 SSH를 통한 루트 로그인을 허용해서는 안됩니다. 대신 sudo를 사용해야합니다.

그러나 / etc에있는 것과 같은 서버 구성 파일의 원격 편집을 위해 SSH (SFTP)를 사용하려면 (Apache, Cron, 이름 지정) 어떻게해야합니까?

  • SFTP를 통한 루트 액세스 가능 파일 원격 편집이 보안 모범 사례와 호환 가능

  • 보안 모범 사례를 따르도록 파일 권한, 사용자 그룹을 설정하는 방법

현재 암호로 보호 된 공개 키 인증을 사용하여 루트로 로그인하지만 더 안전한 것이 있는지 확실하지 않으므로 SSH 로그인 루트가 완전히 비활성화 될 수 있습니다.

서버는 Ubuntu 12.04입니다.

ubuntu  ssh  sftp  openssh  public-key 
미코 오타 마마
소스
클라이언트 OS는 무엇입니까? 귀하의 질문에 더 구체적으로 기재하십시오!
SPRBRN
직접 키 기반 루트 로그인이 sudo보다 덜 안전해야하는 이유를 알 수 없습니다.
jpc

답변:

2

원격 편집이 실제로 필요한 경우 간단한 로컬 솔루션은 다른 로컬 사용자에게 / etc (또는 그 일부) 사본을 보관하고 변경 사항을 실제 / etc로 복사하도록 시스템을 설정하는 것입니다. git 또는 svn 또는 선택한 다른 버전 제어 시스템을 사용하는 것이 더 좋으며 추가 변경 사항이 있습니다.

SFTP에서 chroot를 설정하고 특정 계정에 대해 일반 로그인을 비활성화하거나 지정된 IP 주소에서만 해당 사용자로 로그인을 제한 할 수 있으며 OpenSSH (일치 그룹 등)와 동일한 기능을 사용할 수 있습니다. 이에 대해서는 http://www.thegeekstuff.com/2012/03/chroot-sftp-setup/을 확인 하십시오.

그러나 / etc에있는 대부분의 구성 파일을 편집하면 루트 액세스 권한을 얻을 수 있습니다. 파일 변경을 수락하기 전에 구성 파일의 유효성 검사를 확인하기 위해 svn / git으로 구성된 시스템을 보았습니다. 보안 구성 형식 만 허용하는 데 사용할 수 있습니다.

어쨌든 문제에 대한 다양한 솔루션이 있습니다. 이것은 하나의 접근 방식이었습니다.

j
소스
1

SSH를 통해 해당 파일을 편집하는 것이 좋지 않은 이유를 모르겠습니다. 난 항상 그래

sudo nano /etc/apache2/sites-available/default

GUI 편집기를 사용하려면 X 터널링을 사용할 수 있습니다. ssh conf 파일에서 허용 한 다음 -Xssh 명령 행 에서 옵션 을 사용해야합니다 .

ssh -X server.example.com

그런 다음 GUI 편집기로 파일 파일을 편집 할 수 있습니다.

sudo gedit /etc/apache2/sites-available/default
미켈
소스
이것은 내가 말한 것처럼 원격 편집입니다. SSH / SFTP를 통해 파일을 편집하는 로컬 텍스트 편집기가 아닌 서버에서 gedit를 실행하고 있습니다.
Mikko Ohtamaa
0

Sublime Text의 SSH 터널을 통해이 작업을 수행하는 방법에 대한 예는 이 SO 답변 을 참조하십시오 .

사용자
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.