4 votos

Restringir SSH sólo a las transferencias de archivos

Tengo usuarios que me transfieren archivos utilizando la misma cuenta de usuario en mi servidor y añadiendo sus claves públicas al archivo de claves autorizadas.

Quiero restringir el acceso tanto como sea posible, de manera que sólo puedan crear archivos.

¿Es esto posible?

0 votos

¿Qué misma cuenta? ¿La tuya? Lo que quieres es chroot sftp

6voto

Jenny D Puntos 14396

Dado que se están registrando mediante el uso de claves públicas, puedes simplemente configurar esa clave para no permitir ningún PTY. Aquí hay un ejemplo de una clave bastante cerrada:

from="their.workstation.only.domain.com",no-pty,no-port-forwarding ssh-dss AAA....

Esto sólo permitirá las conexiones desde un ordenador y desestimará tanto el PTY como el reenvío de puertos. Todas estas opciones deben ir antes del inicio de la clave y estar separadas por comas.

Hay una lista de todas las opciones posibles en la sección AUTHORIZED_KEYS FILE FORMAT en la página man de sshd.

0 votos

¿Impedir la ejecución de un programa con no-pty? No lo creo: ssh -o RequestTTY=no foo@bar touch /tmp/testfile

1 votos

No-pty limita sólo tty, lo que desactiva un Shell. Hay otras opciones en la página de manual para limitar aún más las acciones posibles.

0 votos

@HaukeLaging: puede utilizar restrict que permite todas las restricciones: no-pty etc.

2voto

favadi Puntos 324

Creo que rssh es obviamente la elección.

rssh es un Shell restringido para usar con OpenSSH, permitiendo sólo scp y/o sftp. Ahora también incluye soporte para rdist, rsync y cvs. Por ejemplo, si tiene un servidor del que sólo quiere permitir a los usuarios copiar archivos a través de scp, sin proporcionar acceso a Shell, puede usar rssh para hacerlo.

0 votos

Important Security Notice: There are some potentially serious security implications involved with running rssh.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: