সুরক্ষিত এসএফটিপি সার্ভারের জন্য ফাইল সিস্টেম সুরক্ষিত করা হচ্ছে

12

এটি বিকাশের প্রশ্ন হিসাবে মনে হচ্ছে না, তবে সংক্ষেপে এটি। কিভাবে আমাকে ব্যাখ্যা করুন। আমাদের মূল বিকাশের ফোকাস হ'ল ডায়নামিক সামগ্রী পৃষ্ঠা। আমাদের কিছু গ্রাহক আমাদের তাদের পুরানো স্থির সামগ্রীর জন্য আমাদের সার্ভারে (যা তারা প্রদান করেন) স্থান দেওয়ার অনুমতি চেয়েছে। আমরা গ্রাহককে একটি অন্য ডোমেনে একটি এফটিপি অ্যাকাউন্ট দিয়ে এটি সম্পাদন করতে ব্যবহার করি। (উদাহরণস্বরূপ গ্রাহক ডোমেন গ্রাহক.কম তবে তারা অন্য স্টোর / কাস্টোমারেস্ট্যাটিকের মাধ্যমে তাদের স্থিতিশীল সামগ্রীটি অ্যাক্সেস করছেন)।

এখন আমরা গ্রাহকদের তাদের লিনাক্স সার্ভারগুলিতে sftp অ্যাকাউন্ট সরবরাহ করে সুরক্ষা বাড়াতে চাই। আমি তাদের শেল এনভায়রনমেন্টে ওপেনশ / এসএফটিপি-সার্ভার ব্যবহার করছি যাতে তারা লগ ইন করতে বা আদেশগুলি কার্যকর করতে অক্ষম হয়।

সমস্যাটি হ'ল প্রকৃতিতে অনেকগুলি ফাইল সিস্টেম ফাইল ডিফল্ট (drwxr-xr-x) যার অর্থ যে কোনও ব্যবহারকারী ডিরেক্টরিতে এবং সম্ভবত কিছু ফাইল পড়তে সক্ষম হবেন। আমি মনে করি না যে পুরো ফাইল সিস্টেমকে -rwxr-x - x এ পরিবর্তন করা একটি বুদ্ধিমান পদক্ষেপ কারণ আমি জানি না যে কতগুলি ফাইল ফাইলের সেই পড়ার অনুমতি প্রয়োজন হবে।

অতীতে কেউ এই সমস্যার মুখোমুখি হন। যদি আপনার থাকে, আপনি কি উপায় আলোকিত করতে পারেন?

ধন্যবাদ

— আনন
সূত্র

ভাল প্রশ্ন এবং সংক্ষিপ্ত পূর্ণ উত্তর - একজন মডারেটরের সম্ভবত শিরোনাম পরিবর্তন করা উচিত এবং এটিকে একটি নন-উইকি প্রশ্নে রূপান্তর করা উচিত।

— মাইকিবি

কোনও প্রশ্ন আন-উইকি করা সম্ভব নয়; দুঃখিত

— জেফ আতউড

22

প্রকৃতির দ্বারা এসএফটিপি নিরাপত্তাহীন নয়; এটিকে আপনার পুরো ফাইল সিস্টেমে প্রবেশ দেওয়া। আপনি কীভাবে ক্রুট ভিত্তিতে এসএফটিপি অ্যাক্সেস সক্ষম করতে পারবেন তা যাচাই করে দেখুন , যে ডিরেক্টরিগুলিতে তারা অ্যাক্সেস করতে পারে, বলতে হবে, তাদের হোম ডিরেক্টরিতে বা আপনি যেখানেই তাদের আপলোড করতে চান সেখানে লক করবে।

লিনাক্সে, আমি এই অংশটি (/ etc / ssh / sshd_config কনফিগার করে) মনোযোগ দেব:

  Match Group sftponly
         ChrootDirectory %h
         ForceCommand internal-sftp 
         AllowTcpForwarding no

এর অর্থ 'sftponly' ব্যবহারকারীর গ্রুপের যে কেউ তাদের বাড়ির ডিরেক্টরিতে সীমাবদ্ধ থাকবে।

আরও জন্য লিঙ্কটি দেখুন, এবং এছাড়াও sshd_config ম্যানপেজ পড়ুন। আশা করি এইটি কাজ করবে.

— জোশ কে
সূত্র

এছাড়াও, internal-sftpক্লায়েন্ট যখন sftp সাবসিস্টেমটি অনুরোধ করে তখন এটি ব্যবহার করতে আপনাকে ওপেনএসএসএইচকে বলতে হবে — এটি বাহ্যিক sftp-serverপ্রোগ্রামটি ব্যবহার করার জন্য সেট করা হতে পারে । এটি করার Subsystem sftp internal-sftpজন্য, কনফিগারেশন ফাইলের প্রধান বিভাগে ( Matchবিভাগের অধীনে নয় ) লাইনটি যুক্ত বা পরিবর্তন করুন ।

— Nate

জোশ, আপনি কি কখনও কোনও উপায় খুঁজে বের করার জন্য এটির ব্যবহারকারীর হোম ডিরেক্টরিগুলির মূল মালিকানা প্রয়োজন না?

— ম্যাট সিমন্স 19

1

এটি আগ্রহী হতে পারে - http://sublimation.org/scponly/wiki/index.php/Main_Page

আপনাকে কিছু ব্যবহারকারীকে কেবল স্ক্রিপ করতে সীমাবদ্ধ করার অনুমতি দিচ্ছে - এবং optionচ্ছিকভাবে তাদের chroot'ingও।

— স্টিফেন মালকাহী
সূত্র

1

যখন আপনি বলবেন "অনেক ফাইল সিস্টেম 755 অনুমতি ডিফল্টভাবে এমন", যে আসলে ডিফল্ট মানে umask 022. সেট করা হয় আপনি 027 থেকে umask, যা ডিফল্টভাবে অনুমতি 750 করতে হবে সেটিং দ্বারা (নতুন ফাইল জন্য) এই ডিফল্ট পরিবর্তন করতে পারেন বা ওমাস্কটি 007 তে সেট করুন যা ডিফল্ট অনুমতিগুলি 770 করে।

— ক্ষুদ্র বনহংসীবিশেষ
সূত্র

0

আপনি ওপেনভিজেড সার্ভার স্থাপনের বিষয়ে বিবেচনা করতে পারেন এবং তারপরে প্রতিটি সংস্থার জন্য একটি পৃথক ছোট ভিএম এফটিপি / এসএফটিপি 'ধারক' তৈরি করতে পারেন। এটি সেগুলি পৃথক করে রাখে এবং একবার ওপেনভিজেডের হ্যাংটি পেলে এটি এই ধরণের ছোট ছোট জিনিসগুলির জন্য সত্যই কার্যকর।

— কাইল ব্র্যান্ড
সূত্র