ルートアクセスとsshキーベースの認証にsudoを必要とするシステムでSFTPを使用する方法は？

ルート許可が必要なファイルを編集するためにSFTPを使用できるようにしたい。

SSHキーベースの認証-スマートカードのrsaキーを使用しています。

システムがルートレベルのコマンドを実行するためにsudoを必要とする場合、これを回避するにはどうすればよいですか？

SFTPのみに対してsudoをバイパスする方法を作成できますか？

sudoおよびキー認証を保持する方法はありますか。

Windowsを使用してUbuntuに接続しています。Ubuntuに接続するMacでも同様に機能するために必要です。

システムサービスを管理するためにSSHトンネリングを行う方法を理解しています。現在、rootユーザーログインを直接使用していますが、パスワードログインは無効になっています。sudoとSFTPを同時に使用する方法がわかりませんでした。ログには各コマンドの昇格された権限が付与されたことが記録されるため、非rootユーザーとしてログインし、sudoを使用する必要があるのがベストプラクティスのようです。

キーベースの認証を使用する場合、これに気を付ける必要がありますか、これはセキュリティ/ロギングの些細な違いですか？キーベースの認証はユーザーのシリアル番号をログに記録するようで、ルートユーザーが各ユーザーを識別するために複数のキーを持つことができます。これは、sudoを使用するのと同じ効果のようです。私が間違っている？

SFTPは、ファイル操作へのコマンドアクセスであり、使用するアカウントの制限があります。より多くの管理操作を行うにはsshを使用する必要があり、sudoとSFTPを同時に使用できなくなります。SFTPを使用して制限なしでディスク全体にアクセスする必要がある場合は、rootアカウントを使用してアクセスしてください。とにかく、もちろん2つの異なるセッションを使用して、sftpとsshで同時にrootでログインできます。

セキュリティキーはセキュリティを向上させ、キーボード入力を必要とせずにロギングをより簡単にします。ログインに役立つだけで、アカウントユーザーごとに複数のパスワードを設定でき、同じ効果が得られます。

編集：私は忘れました：ユーザーIDを0に割り当てると、rootと同じ効果を持つ別のアカウントを作成できますが、同じように危険であり、意味がありません。誰かがrootのようにログインしようとすると難読化される可能性がありますが、それ以外はあまり意味がありません。

サブシステムをsudoで呼び出すとうまくいきました。

たとえば、Ubuntuホストへ：

sftp -s "sudo /usr/lib/openssh/sftp-server" targethost.fqdn

上記のコメントで@MartinVonWittichが提案したことを超えて、このアクティビティ専用のSSHキーペアをセットアップし、それらをrootユーザーの/root/.ssh/authorized_keysファイルに追加して、スコープを単一のコマンドに限定することができます。

# User backup's $HOME/.ssh/authorized_keys file
command="/usr/libexec/openssh/sftp-server" ssh-dss AAAAC8ghi9ldw== backup@host

これにより、このペアに対応するキーを持つ別のシステムが、ルートとしてこのシステムにSFTPできるようになります。この接続の記録は、syslogおよび/またはsecure.logファイルにまだあります（ディストリビューションがこのレベルのログを提供すると仮定します）。

注：この方法でサーバーにアクセスするユーザーはだれでもアクセスできるので、賢く使用してください。引き続き読み取りを続け、この機能をchrootおよび読み取り専用アクセスと組み合わせて、特定の場所への厳しいアクセス制限とターゲットアクセスをルートとして構築します。

chrootおよび読み取り専用

ここで利用できる他の手法は、SFTP接続を制限して、使用されたSSHキーに基づいて、ルートとして特定の場所にchrootされるようにすることです。詳細については、このU＆LのQ＆A「SFTPによるパスワードなしのバックアップの制限」への私の回答をご覧ください。

またsftp-server、スイッチ-Rとを使用して制御することもできます-d。

 -d start_directory
         specifies an alternate starting directory for users.  The pathname 
         may contain the following tokens that are expanded at runtime: %%
         is replaced by a literal '%', %h is replaced by the home directory
         of the user being authenticated, and %u is replaced by the user‐
         name of that user.  The default is to use the user's home 
         directory.  This option is useful in conjunction with the 
         sshd_config(5) ChrootDirectory option.

 -R      Places this instance of sftp-server into a read-only mode.  
         Attempts to open files for writing, as well as other operations 
         that change the state of the filesystem, will be denied.

私が従った単純なアプローチは、sftpでファイルをステージ領域（mkdirサーバーのアクセス権を持つ新しいディレクトリ）に配置し、sshをもう一度使用して、そこからsudo cpまたはで宛先にファイルを移動することsudo mvでした。

同様の問題がありました。vimdiffを使用して、csshとsudoを使用して、ほとんど同様のホストのグループで構成ファイルを編集したいので、ワークフローにソリューションを適合させることができます。

sudoedit（sudoの一部）を使用すると、エディターを通常のユーザーとして使用して、書き込み権限のないファイルを編集できます。また、エディターを環境変数で指定できます。sudoeditはファイルをコピーし、コピーの名前でエディターを呼び出し、エディターが終了するのを待ってから、変更されたコピーを元の場所にコピーします。そのため、編集せずに、後で使用するためにファイルをメモして待機する「エディター」と、そのマーカーを使用するvimdiffのラッパーを作成しました。

最初のファイルは〜/ .bin / reditです

#!/usr/bin/perl -w
use strict;
use warnings;
use Sys::Hostname;
my $file = $ENV{HOME}.'/.var/redit/'.hostname();
sub cmkdir($){
    my $_=shift;
    mkdir $_ unless -d $_;
}
cmkdir $ENV{HOME}.'/.var/';
cmkdir $ENV{HOME}.'/.var/redit/';
foreach (@ARGV){
    my $fh;
    open $fh, '>', $file.'na' or warn;
    print {$fh} $_;
    close $fh;
    symlink $_, $file or die;
    print;
    <STDIN>;
    unlink $file or die;
    unlink $file.'na' or die;
}

2番目は〜/ .bin / redit1です

#!/usr/bin/perl -w
use strict;
use warnings;
use Sys::Hostname;
my $h=hostname();
@ARGV=qw(host1 host2 host3 host4) unless @ARGV;
print join " ", qw(gvimdiff), $ENV{HOME}.'/.var/redit/'.$h, map {'scp://'.$_.'/.var/redit/'.$_} grep {$_ ne $h} @ARGV;
exec qw(gvimdiff), $ENV{HOME}.'/.var/redit/'.$h, map {'scp://'.$_.'/.var/redit/'.$_} grep {$_ ne $h} @ARGV;

それらを使用する方法は、csshを使用して4つすべてのホストへの接続を開き、次のようなコマンドを使用してからEDITOR=~/.bin/redit sudoedit /etc/conf/file、別のウィンドウで実行し~/.bin/redit1、変更を行い、保存して終了し、csshに切り替えてEnterを押して変更をコミットしますsudoeditを終了します（複数のファイルを編集している場合を除き、reditはリスト内の次のファイルに進み、次のファイルに対してredit1を再度実行します）。

あなたがしていることはそれほど複雑ではないので、1つのリモートホストだけで作業するため、redit1は必要ありません。sftpエディタをhost：.var / redit / hostまたは同等のものに向けることができます。

私がしているのは、（s）ftpの代わりにscpを使用し、シェルをsudo su -WinSCPに変更することです。これはAdvanced \ SCP \ Shellにありますが、これはscpプロトコルでのみ機能します。

sftpの場合：ssh shell sudo accessがある場合、ユーザー名を/ etc / groupのrootユーザーグループに追加し、そのグループにアクセスしたいフォルダーへのrx許可を与えることができます。

サーバー側でsshd_configファイルに挿入できます。

Subsystem sftp sudo -n true && sudo -n /usr/lib/openssh/sftp-server || /usr/lib/openssh/sftp-server

この方法で、NOPASSWD sudo権限を持っている人は誰でも、ルート化されたsftpアクセスを取得できます。

この行を/ etc / ssh / sshd_configに追加することは私にとって修正であり、既存のサブシステム行をコメントします Subsystem sftp sudo -n true && sudo -n /usr/lib/openssh/sftp-server || /usr/lib/openssh/sftp-server

それから sudo systemctl sshd restart