मैं डेबियन स्थिर चल रहा हूं और मैं अपने 'sftponly' समूह में उपयोगकर्ताओं के लिए निम्न वातावरण स्थापित करना चाहता हूं:
- जेल में बंद
- SFTP के साथ स्थानांतरण कर सकते हैं
- एससीपी के साथ स्थानांतरण कर सकते हैं
- SSH के साथ अंतःक्रियात्मक रूप से लॉगिन नहीं कर सकता
मेरे प्रयोग और अनुसंधान से, ऐसा लगता है कि sshd_config में निम्नलिखित श्लोक मुझे वहाँ 90% मिलता है:
Match group sftponly
ChrootDirectory /sftp/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
इससे मुझे SFTP और कोई SSH नहीं मिला, जो अच्छा है। लेकिन यह एससीपी को भी अक्षम करता है, जो आदर्श से कम है क्योंकि काफी कुछ ग्राहक विरासत, स्क्रिप्टेड प्रक्रियाएं हैं जो एससीटीपी के बजाय एससीपी का उपयोग करते हैं (सर्वर हम दोनों प्रोटोकॉल का समर्थन कर रहे हैं), और चूंकि उन क्लाइंट हमारे नियंत्रण में नहीं हैं और आसानी से संशोधित, संभवतः एससीपी को पूरी तरह से अक्षम करने के लिए व्यावहारिक नहीं है।
यह समझ में आता है कि यह कॉन्फ़िगरेशन एससीपी को निष्क्रिय कर देगा, क्योंकि आने वाले एससीपी कनेक्शन उपयोगकर्ता के लॉगिन शेल के माध्यम से एक `एससीपी 'प्रक्रिया को जन्म देते हैं, क्योंकि वह उपयोगकर्ता है। ऐसा लगता है कि यह सामान्य रूप से एसएफटीपी के लिए सही होगा, क्या यह विशेष 'आंतरिक-एसटीपी' हैंडलर के लिए नहीं था।
इसलिए, मुझे लगता है कि मेरा प्रश्न यह है: क्या 'आंतरिक-sftp' के समान प्रभाव को प्राप्त करने का एक तरीका है, लेकिन SCP के लिए, बिना थकाऊ और rshsh जैसे तृतीय-पक्ष टूल का उपयोग किए बिना? -इंटरनल-एसएफटीपी ’के बारे में वास्तव में अच्छी बात यह है कि इसमें समर्थन फाइलों के साथ जेल स्थापित करने की आवश्यकता नहीं है, या संभावित-शोषक तृतीय पक्ष सेतु बायनेरिज़ के साथ काम करना (विशेष रूप से, शोषण का इतिहास है)।