এসএসএইচ শেল অ্যাক্সেস সক্ষম করুন তবে এসএফটিপি অ্যাক্সেস অক্ষম করুন

আমি এই প্রশ্নের একটি ব্যবহারিক উত্তর খুঁজে পেয়েছি, এবং বেশিরভাগ উত্তরে কেন এটি করবেন না সে সম্পর্কে পরামর্শ অন্তর্ভুক্ত রয়েছে। তবে, এখানে দৃশ্যধারণ করা হয়েছে এবং এটি কী প্রয়োজনীয় করে তোলে:

আমার কাছে একটি কনসোল অ্যাপ্লিকেশন রয়েছে এবং প্রতিটি ব্যবহারকারীর প্রোফাইলে অ্যাপ্লিকেশনটির জন্য একটি স্টার্টআপ কমান্ড রয়েছে এবং সরাসরি যে কমান্ডটি এটি শুরু হয় তার পরে একটি "প্রস্থান" কমান্ড আসে যা তাদের সিস্টেম থেকে লগ আউট করে। আমি কেবল চাই যে তারা এটি সরবরাহিত ইন্টারফেসের মাধ্যমে এই কনসোল অ্যাপ্লিকেশনটি অ্যাক্সেস করতে পারবে। শুরু হওয়ার পরে, অ্যাপ্লিকেশনটি ব্যবহারকারীকে ক্লায়েন্টের একটি তালিকা সরবরাহ করে যা অ্যাপ্লিকেশনটির মাধ্যমে অ্যাক্সেস করা যায় এবং প্রতিটি ক্লায়েন্টের নিজস্ব ডেটা ডিরেক্টরি থাকে। ব্যবহারকারীদের কেবলমাত্র ক্লায়েন্টদের অ্যাক্সেস দেওয়া হয়েছে যা তাদের অ্যাক্সেসের প্রয়োজন হবে।

এখন এখানে সমস্যাটি রয়েছে: আমি যদি ব্যবহারকারীদের এসএসএইচ অ্যাক্সেস দিই তবে তারা এসএফটিপি ক্লায়েন্ট ব্যবহার করে লগ ইন করতে সক্ষম হবে, যা অ্যাপ্লিকেশনটির জন্য ডেটা ডিরেক্টরিতে তাদের সরাসরি অ্যাক্সেস দেবে, যা খুব অনাকাঙ্ক্ষিত, যেহেতু এটিও দেবে তাদের যে ডেটা ডিরেক্টরিগুলিতে অ্যাক্সেস না করা উচিত তাদের অ্যাক্সেস।

টেলনেট / এফটিপি সংমিশ্রণটি ব্যবহার করার সময় এটি এমন সাধারণ কাজ ছিল, তবে এখন যেহেতু আমি ইন্টারনেটের যে কোনও জায়গা থেকে ব্যবহারকারীদের অ্যাক্সেস দিতে চাই, এসএফটিপি থেকে তাদের বন্ধ করার কোনও উপায় আমি খুঁজে পাচ্ছিলাম না, এখনও তাদের শেলটিতে অ্যাক্সেসের অনুমতি দেয় যেখানে তারা অ্যাপ্লিকেশনটি চালাতে পারে।

সম্পাদনা:

যদি এটি সুস্পষ্ট না হয় তবে নিম্নলিখিত উত্তরটি সার্ভারে শেল অ্যাক্সেস সহ যে কেউ এসএফটিপি ব্যবহার করতে বাধা দেওয়ার নিরাপদ পদ্ধতি হিসাবে নয় । এটি কেবলমাত্র একটি উত্তর যা এটি বাহ্যিক দৃশ্যমানতা থেকে কীভাবে অক্ষম করতে হয় তা ব্যাখ্যা করে। ব্যবহারকারীর স্তরের সুরক্ষা সম্পর্কে আলোচনার জন্য, @cpast এবং @ আলেকসি তোড়হামোর উত্তর দেখুন। সুরক্ষা যদি আপনার ফোকাস হয় তবে এই উত্তরটি যথাযথ নয়। যদি সহজ পরিষেবা ভিসিবিলি আপনার ফোকাস হয়, তবে এটি আপনার উত্তর।

আমরা এখন মূল উত্তরটি অবিরত করছি:

Sshd_config এ sftp সমর্থন মন্তব্য করুন (এবং অবশ্যই পুনরায় আরম্ভ করুন sshd):

#Subsystem sftp /usr/lib/openssh/sftp-server

অন্যরা যেমন উল্লেখ করেছে, অক্ষম sftpকরা কোথাও পর্যাপ্ত কাছাকাছি নয় - অনিয়ন্ত্রিত sshঅ্যাক্সেসযুক্ত ব্যবহারকারী তাদের অ্যাকাউন্টে যে কোনও ফাইল দেখার অনুমতি পাচ্ছে, তাদের সংশোধন করার অনুমতি রয়েছে এমন কোনও কিছু সংশোধন করতে পারে এবং তারা নিজেরাই পড়তে পারে যে কোনও কিছু সহজেই ডাউনলোড করতে পারে মেশিন। তাদের এটি করা থেকে বিরত করার একমাত্র উপায় হ'ল আসলে তাদের অ্যাক্সেসকে সীমাবদ্ধ করা। .profileব্যবহারকারীদের সীমাবদ্ধ রাখার উপর নির্ভর করাও আদর্শ নয়, কারণ এটি তার পক্ষে নয় (সম্পাদনা করুন: আলেকসি যেমন তার উত্তরে উল্লেখ করেছেন, এটি বাইপাস করা আসলে তুচ্ছ .profile; ব্যাপারটি .profileহ'ল এটি সুবিধার জন্য, সুরক্ষার পক্ষে নয়, তাই এটি নয়) ব্যবহারকারীকে সীমাবদ্ধ করার উদ্দেশ্যে। সুরক্ষার জন্য ডিজাইন করা জিনিসগুলি যেমন নীচের জিনিসগুলি সুরক্ষা সরবরাহ করতে ব্যবহার করুন)।

এটি করার দুটি প্রাথমিক উপায় রয়েছে: আপনি ফাইল অনুমতিগুলির মাধ্যমে সেগুলিকে সীমাবদ্ধ করতে পারেন বা কেবল আপনার কনসোল অ্যাপ্লিকেশনটি চালাতে বাধ্য করতে পারেন। দ্বিতীয় উপায়টি আরও ভাল: ব্যবহারকারীদের কনসোল অ্যাপ্লিকেশনটিতে কোনও গ্রুপে সীমাবদ্ধ করা উচিত (যেমন customers); তারপরে, sshd_configনিম্নলিখিত লাইনগুলি যুক্ত করুন:

Match Group customers
ForceCommand /path/to/app

এটি যা করে তা এটিকে তৈরি করে যাতে that গোষ্ঠীর ব্যবহারকারীদের সমস্ত সংযোগ কনসোল অ্যাপ্লিকেশনটি খুলতে পারে; sftpসার্ভার সরঞ্জাম সহ তারা আর কিছু শুরু করতে পারে না । এটি তাদেরকে সিস্টেমের সাথে অন্য কিছু করতে বাধা দেয় এবং এর বিপরীতে .profileএসএসএইচ সার্ভারটি নিজেই ব্যবহার করে ( .profileশেল এগুলিকে সীমাবদ্ধ করে, শেল ForceCommandশুরু করার সাথে জড়িত না এমন অন্যান্য জিনিসগুলিও প্রতিরোধ করে)। এছাড়াও এটির বিপরীতে .profile, এটি একটি সুরক্ষা বিষয় হিসাবে ডিজাইন করা হয়েছে ; এটি বিশেষত কোনও দূষিত ব্যবহারকারীকে এড়ানো থেকে বিরত থাকার জন্য তৈরি করা হয়েছে।

(সম্ভবত নিকৃষ্ট) বিকল্পটিতে কনসোল অ্যাপ্লিকেশন চালানোর জন্য একটি নতুন ব্যবহারকারী তৈরি করা জড়িত। তারপরে আপনি সেই ব্যবহারকারীর জন্য ডেটা ডিরেক্টরিগুলি সীমাবদ্ধ করবেন, সেই ব্যবহারকারীর মালিকানাধীন কনসোল অ্যাপ সেট u+sকরুন এবং প্রোগ্রামে সেট করবেন on এই setuidবিট; এর অর্থ হ'ল যে কেউ কনসোল প্রোগ্রাম চালায় সে প্রোগ্রামের মালিকের অনুমতি নিয়ে তা করে। এইভাবে, ব্যবহারকারীর নিজস্ব ডিরেক্টরিতে অ্যাক্সেস নেই, তারা কেবল এটি প্রোগ্রামের মাধ্যমে পায়। তবে, আপনার সম্ভবত সম্ভবত ব্যবহার করা উচিত ForceCommand, কারণ এটি "কেবলমাত্র এই প্রোগ্রামটি চালান" এর সমস্ত অ্যাক্সেসকে সীমাবদ্ধ করে ।

.profileএটি করার চেষ্টা করবেন না কারণ এটি কোনও সুরক্ষা সরবরাহ করে না এবং ঠিক কোনও কিছুই সীমাবদ্ধ করে না!

এটা ব্যাপার না আপনি কিসের রাখা নেই .profile, আপনি কেবল এই মত, SSH কমান্ড লাইন চালানোর কমান্ড দিয়ে এটা বাইপাস করতে পারেন যেহেতু: ssh user@host command। আপনি এখনও করে সাধারণ শেল অ্যাক্সেস পেতে পারেন ssh -t user@host bash।

অন্য উত্তরে উল্লিখিত মতো এসএফটিপি সাবসিস্টেমটি অক্ষম করা মোটেই সহায়তা করে না। সাবসিস্টেমগুলি মূলত কমান্ডের কেবলমাত্র এলিয়াস এবং আপনি এখনও সাধারণভাবে এসফটিপি ব্যবহার করে ব্যবহার করতে পারেন sftp -s /path/to/sftp-executable user@host।

সিপিস্টের মতো এবং কিছু মন্তব্যকারী বলেছেন, অ্যাক্সেস সীমাবদ্ধ করার জন্য আপনার যথাযথ প্রক্রিয়া ব্যবহার করা উচিত। এটাই,

• ব্যবহার করুন ForceCommandমধ্যেsshd_config
• Passwordless লগইন এবং ব্যবহার করুন command="..."মধ্যে.ssh/authorized_keys
• ব্যবহারকারীর শেল এমন কিছুতে পরিবর্তন করুন যা ব্যবহারকারী কী করতে পারে তা সীমাবদ্ধ করে

নোট:

• command="..." কেবল একটি চাবি প্রয়োগ করে, সুতরাং এটি কোনও পাসওয়ার্ড বা অন্য কী ব্যবহার করে ব্যবহারকারীর জন্য ssh লগইনকে সীমাবদ্ধ করে না
• আপনি পোর্ট ফরওয়ার্ডিং ইত্যাদিও সীমাবদ্ধ রাখতে চাইতে পারেন (পোর্ট ফরওয়ার্ডিং, এক্স 11 ফরওয়ার্ডিং, এজেন্ট ফরোয়ার্ডিং এবং পিটিআই বরাদ্দগুলি যা আমি শুনেছি)
  • AllowTcpForwarding ইত্যাদি sshd_config
  • no-port-forwarding ইত্যাদি .ssh/authorized_keys
• আপনার যদি অন্যান্য ডেমনগুলি (এফটিপি এর মতো) চলমান থাকে তবে আপনার অবশ্যই যাচাই করা উচিত যে তারা কোনও ব্যবহারকারীকে ব্যবহার করতে দেয় না (কিছু ডেমন ব্যবহারকারীর শেলের উপর ভিত্তি করে এই সিদ্ধান্ত নিতে পারে, তাই আপনি যদি এটি পরিবর্তন করেন তবে আপনি এটি পুনরায় পরীক্ষা করতে চান)
• আপনি ব্যবহারকারীর শেলটিকে একটি স্ক্রিপ্টে পরিবর্তন করতে পারেন যা আপনি যা চান তা করে; এটি হয় তর্ক ছাড়াই বা পছন্দ মত চালানো হয়script -c 'command-the-user-wanted-to-run'
• উভয়ই ForceCommandএবং command="..."ব্যবহারকারীর শেলটি দিয়ে কমান্ডটি চালায়, সুতরাং যদি ব্যবহারকারীর শেলটি যেমন সেট করা থাকে তবে তারা কাজ করে না। /bin/falseঅথবা/sbin/nologin

দাবি অস্বীকার: আমি কোনওভাবেই এই বিষয়ে বিশেষজ্ঞ নই, তাই আমি বলতে পারি যে .profileজিনিসটি নিরাপদ নয়, আমি জানি না যে আমি জানি না এমন অন্যান্য পদ্ধতিগুলির সাথে কিছু "গোটচা" নেই promise সম্পর্কিত. আমার জানা মতে তারা নিরাপদ, তবে আমি ইন্টারনেটে ভুল হওয়া প্রথম ব্যক্তি হব না।

এসএসএইচ সক্ষম করা এবং বিশ্বব্যাপী এবং ব্যবহারকারী / গ্রুপ উভয়ই এসএফটিপি অক্ষম করা সম্ভব।

আমার ব্যক্তিগতভাবে এটি প্রয়োজন কারণ আমি এসএসএইচ-র উপরের কিছু গিট সংগ্রহস্থলগুলিতে অ্যাক্সেস দিতে চাই এবং আমি প্রয়োজনীয় সিস্টেমগুলি অক্ষম করতে চাই। সেক্ষেত্রে এসএফটিপি দরকার হয় না।

বিশ্বব্যাপী

আপনি কয়েকটি উপায়ে সমস্ত ব্যবহারকারীর জন্য এসএফটিপি অক্ষম করতে পারেন।

অনুপস্থিত সাবসিস্টেম

এসএসএইচ দ্বারা ব্যবহৃত এসএফটিপি ডিমন Subsystemকীওয়ার্ডের মাধ্যমে কনফিগার করা যায় । sshd_config(5)ম্যানুয়াল থেকে :

Subsystem
        Configures an external subsystem (e.g. file transfer daemon).
        Arguments should be a subsystem name and a command (with optional
        arguments) to execute upon subsystem request.

        The command sftp-server(8) implements the “sftp” file transfer
        subsystem.

        Alternately the name “internal-sftp” implements an in-process
        “sftp” server.  This may simplify configurations using
        ChrootDirectory to force a different filesystem root on clients.

        By default no subsystems are defined.

শেষ লাইনটি পরামর্শ দেয় যে "sftp" এর জন্য কোনও সাবসিস্টেম সংজ্ঞায়িত না করাই যথেষ্ট হবে।

একটি মিথ্যা মিথ্যা

আপনি এসএসএইচ দ্বারা ব্যবহৃত অযৌক্তিক কিছুতে এসএফটিপি ডিমন সেট করেও এসএফটিপি অক্ষম করতে পারেন। উদাহরণস্বরূপ, "sftp" সাবসিস্টেমটি এতে কনফিগার করুন /bin/false:

Subsystem sftp /bin/false

যখন কোনও কিছু এসএফটিপি-র মাধ্যমে লগ ইন করার চেষ্টা করবে, তখন এসএসএইচ ডেমন "এসএফটিপি ডেমন" স্প্যান করার চেষ্টা করবে /bin/false। /bin/falseপ্রোগ্রামটি শুধুমাত্র এক জিনিস আছে, এবং যে একটি ত্রুটির কোড আসতে হয়। এসএফটিপি সংযোগের প্রচেষ্টা কার্যকরভাবে অস্বীকার করা হয়েছে।

প্রতি ব্যবহারকারী / গোষ্ঠী

ব্যবহারকারী, গোষ্ঠী বা অন্যান্য কয়েকটি মাপদণ্ডে প্রতি এসএফটিপি অক্ষম করাও সম্ভব।

আপনি যদি ব্যবহারকারীকে নিয়মিত শেল প্রম্পট পেতে চান তবে এটি কাজ করে না। আপনার শেল অ্যাক্সেস থাকলে আপনি বেশিরভাগ স্টাফকে বিভ্রান্ত করতে পারবেন বলেও তা বোঝায় না। আপনি কেবলমাত্র একটি নির্দিষ্ট প্রোগ্রামের অ্যাক্সেস দিতে চাইলেই এটি কাজ করবে।

মেলা

ব্যবহারকারীর একটি সেট মেলে, আপনি Matchকীওয়ার্ড দিয়ে এসএসএইচ কনফিগার করতে পারেন । sshd_config(5)ম্যানুয়াল থেকে :

Match
        ...

        The arguments to Match are one or more criteria-pattern pairs or the
        single token All which matches all criteria.  The available criteria
        are User, Group, Host, LocalAddress, LocalPort, and Address.  The
        match patterns may consist of single entries or comma-separated
        lists and may use the wildcard and negation operators described in
        the PATTERNS section of ssh_config(5).

        ...

উদাহরণ দুটি:

• Match User eva "ইভা" ব্যবহারকারীর সাথে মেলে
• Match User stephen,maria "স্টিফেন" এবং "মারিয়া" ব্যবহারকারীদের সাথে মেলে
• Match Group wheel,adams,simpsons "চাকা", "অ্যাডামস", "সিম্পসনস" গোষ্ঠীর সাথে মেলে

আপনি যদি আরও তথ্য চান, sshd_config(5)ম্যানুয়ালটিতে লোড রয়েছে ।

জোর করে আদেশ

সাধারণত আপনি যখন এসএসএইচের মাধ্যমে সংযোগ করেন তখন আপনি ব্যবহারকারীর লগইন শেলটি পান তবে এসএসএইচ একটি নির্দিষ্ট কমান্ড জোর করার জন্য কনফিগার করা যেতে পারে। কমান্ডটি এসএফটিপি সহ যে কোনও এসএসএইচ সংযোগের জন্য বাধ্য করা হয়েছিল এবং সুতরাং আপনার যে কমান্ডটি চান তা জোর করার বিকল্প থাকতে পারে।

কমান্ড টু ফোর্স ForceCommandকীওয়ার্ড দিয়ে কনফিগার করা যায় । sshd_config(5)ম্যানুয়াল থেকে :

ForceCommand
        Forces the execution of the command specified by ForceCommand,
        ignoring any command supplied by the client and ~/.ssh/rc if
        present.  The command is invoked by using the user's login shell
        with the -c option.  This applies to shell, command, or subsystem
        execution.  It is most useful inside a Match block.  The command
        originally supplied by the client is available in the
        SSH_ORIGINAL_COMMAND environment variable.  Specifying a command of
        “internal-sftp” will force the use of an in-process sftp server that
        requires no support files when used with ChrootDirectory.  The
        default is “none”.

সুতরাং আপনি ব্যবহার করতে চান এমন সীমাবদ্ধ কমান্ড জোর করতে পারেন ForceCommand <your command>। উদাহরণ স্বরূপ:

Match User kim
        ForceCommand echo 'successful login man, congrats'

উদাহরণ

আমার ক্ষেত্রে যেখানে আমি গিট অ্যাক্সেস দিতে চাই, আমার কেবল ব্যবহারকারীর অ্যাক্সেস থাকা দরকার git-shell। এটি এমন একটি বিভাগ যা আমার গিট ব্যবহারকারীদের জন্য কিছু সুরক্ষা বিকল্পের সাথে এসএফটিপি অক্ষম করে:

Match Group git

        # have to do this instead of setting the login shell to `git-shell`,
        # to disable SFTP
        ForceCommand /usr/bin/git-shell -c "$SSH_ORIGINAL_COMMAND"

        # disable stuff we don't need
        AllowAgentForwarding no
        AllowTcpForwarding no
        AllowStreamLocalForwarding no
        PermitOpen none
        PermitTunnel no
        PermitTTY no
        X11Forwarding no