SSHを介したrootアクセス可能なファイルの安全なリモート編集

セキュリティのベストプラクティスに従って、パスワードまたはキーを使用したSSH経由のrootログインを許可しないでください。代わりに、sudoを使用する必要があります。

しかし、SSH（SFTP）を使用してサーバー構成ファイルをリモート編集したい場合（/ etc（Apache、Cron、名前を付けてください）など）は、どうすればよいですか？

• SFTPを介したrootアクセス可能なファイルのリモート編集は、セキュリティのベストプラクティスと互換性がありますか？

• ファイルのアクセス許可、ユーザーグループなど、セキュリティのベストプラクティスに従うように設定する方法

現在、パスフレーズで保護された公開鍵認証を使用してrootとしてログインしていますが、もっと安全な方法があるかどうかは不明です。そのため、root側のSSHログインを完全に無効にできます。

サーバーはUbuntu 12.04です。

リモート編集が本当に必要な場合、1つの簡単な解決策は、/ etc（またはその一部）のコピーを別のローカルユーザーに保存し、そこから実際の/ etcに変更をコピーするようにシステムを設定することです。さらに良いのは、git-またはsvn、または他の任意のバージョン管理システムを使用することです-変更の追加のログも取得します。

OpenFTPの同じ機能（マッチグループなど）を使用して、SFTPでchrootをセットアップし、特定のアカウントの通常のログインを無効にする、または指定したIPアドレスからのみそのユーザーへのログインを制限することもできます。それについては、http：//www.thegeekstuff.com/2012/03/chroot-sftp-setup/を確認してください

ただし、/ etc上のほとんどの構成ファイルでは、編集するだけでルートアクセスを取得できることに注意してください。ファイルの変更を受け入れる前に構成ファイルの検証をチェックするようにsvn / gitで構成されたシステムを見てきました-これは、安全な構成フォーマットのみを受け入れるために使用できます。

とにかく、問題にはさまざまな解決策がたくさんあります。これは唯一のアプローチでした。

SSH経由でこれらのファイルをsudoで編集しても問題ない理由がわかりません。私はいつもそれをしています、例えば

sudo nano /etc/apache2/sites-available/default

GUIエディターを使用する場合は、Xトンネリングを使用できます。ssh confファイルでそれを許可してから-X、sshコマンドラインでオプションを使用する必要があります。

ssh -X server.example.com

次に、ファイルfileをGUIエディターで編集できます。

sudo gedit /etc/apache2/sites-available/default

Sublime TextのSSHトンネルを介してこれを行う方法の例については、このSOの回答を参照してください。