mrd*_*law 2 security linux backup ssh chroot
我正在编写一个简单的程序来将一些文件备份到 Linux 机器上。交易将通过 SSH 进行,程序的每个副本都将在它将连接到的 Linux 机器上拥有自己的帐户。
我担心的是,该软件的用户很可能会找出他们的帐户名和密码(这将是事先随机生成的)并想要连接到盒子并进行游戏。
除了我授权备份软件做的事情之外,我想禁用他们在那个盒子上做任何事情的能力。也就是说,他们只需要创建新文件并读取旧文件(无需更新或删除)。他们不应该需要执行bc或类似的能力who。
我曾考虑尝试让chroot每个用户进入他们的主目录,但我对如何做到这一切有点模糊。
关于如何实现此所需功能的任何建议?
谢谢!
小智 10
authorized_keys帐户的文件可以指定每当使用特定密钥进行身份验证时要使用的命令。这将要求您使用密钥而不是用户/密码来设置身份验证-尽管恕我直言,无论如何这都是一件好事。
例如,gitosis 使用这种方法允许人们使用 ssh 连接到服务器,以隧道 git 协议,但不允许他们登录。Authorized_keys 手册页给出了示例,例如:
command="dump /home",no-pty,no-port-forwarding ssh-dss AAAAC3...51R== example.net