Geo*_*Geo 12 security linux sftp html dynamic
这可能看起来不是一个发展问题,但本质上它是。让我解释一下如何。我们的主要开发重点是动态内容页面。我们的一些客户要求我们在我们的服务器(他们付费)中为他们的旧静态内容留出空间。我们过去通过为客户提供不同域的 ftp 帐户来实现此目的。(例如,客户域是 customer.com,但他们通过 otherdomain.com/customerstatic 访问其静态内容)。
现在我们想提高安全性,为客户在他们的 linux 服务器中提供 sftp 帐户。我在他们的 shell 环境中使用 openssh/sftp-server,所以他们无法登录或执行命令。
问题在于,许多文件系统文件本质上是默认的 (drwxr-xr-x),这意味着任何用户都可以读取目录的内容,可能还有一些文件。我不认为将整个文件系统更改为 -rwxr-x--x 是明智之举,因为我不知道有多少系统文件需要该读取权限。
过去是否有人遇到过这个问题。如果有,能指教一下吗?
谢谢
小智 22
SFTP 本质上是不安全的;让它们进入你的整个文件系统是。看看这个,看看如何在chroot基础上启用 SFTP 访问,这将锁定他们可以访问的目录,比如他们的主目录,或者你希望他们上传的任何地方。
在 Linux 上,我会注意这部分(配置 /etc/ssh/sshd_config):
Match Group sftponly
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
这意味着“sftponly”用户组中的任何人都将被限制在他们的主目录中。
有关更多信息,请参阅链接,并阅读 sshd_config 联机帮助页。希望有帮助。