セキュアなSFTPサーバーのファイルシステムの保護

これは開発上の問題とは思えないかもしれませんが、本質的にはそうです。方法を説明させてください。開発の主な焦点は、動的コンテンツページです。一部のお客様から、古い静的コンテンツ用にサーバー内のスペース（有料）を許可するように依頼されました。顧客に別のドメインへのftpアカウントを与えることでこれを達成するために使用します。（たとえば、顧客ドメインはcustomer.comですが、otherdomain.com / customerstaticを介して静的コンテンツにアクセスしていました）。

ここで、Linuxサーバーで顧客にsftpアカウントを提供するセキュリティを強化したいと考えています。シェル環境でopenssh / sftp-serverを使用しているため、ログインまたはコマンドを実行できません。

問題は、本質的に多くのファイルシステムファイルがデフォルト（drwxr-xr-x）であるということです。これは、すべてのユーザーがディレクトリのコンテンツと場合によってはいくつかのファイルを読み取ることができることを意味します。ファイルシステム全体を-rwxr-x--xに変更することは賢明なことだとは思いません。なぜなら、その読み取り許可が必要なシステムファイルの数がわからないからです。

過去に誰かがこの問題に直面したことがあります。持っているなら、その道を教えてくれませんか？

ありがとう

SFTPは本来安全ではありません。それらをあなたのファイルシステム全体に入れることです。これをチェックして、chrootベースでSFTPアクセスを有効にする方法を確認してください。これにより、アクセスできるディレクトリ、たとえばホームディレクトリ、またはアップロード先をロックできます。

Linuxでは、この部分に注意を払います（/ etc / ssh / sshd_configの構成）。

  Match Group sftponly
         ChrootDirectory %h
         ForceCommand internal-sftp 
         AllowTcpForwarding no

これは、「sftponly」ユーザーグループの誰もがホームディレクトリに制限されることを意味します。

詳細についてはリンクを参照し、sshd_configのマンページも参照してください。お役に立てば幸いです。

これは興味深いかもしれません-http://sublimation.org/scponly/wiki/index.php/Main_Page

一部のユーザーをscpのみに制限し、オプションでそれらをchrootすることもできます。

「多くのファイルシステムはデフォルトで755パーミッションです」と言うとき、実際にはデフォルトのumaskが022に設定されていることを意味します。 umaskを007に設定すると、デフォルトの許可が770になります。

OpenVZサーバーのセットアップを検討してから、会社ごとに個別の小さなVM ftp / sftp「コンテナー」を作成することを検討してください。これにより、それらはすべて分離され、OpenVZのコツをつかめば、この種の小さなことには本当に便利です。