SSH शेल एक्सेस सक्षम करें लेकिन SFTP एक्सेस को अक्षम करें

मैंने इस प्रश्न का एक व्यवहार्य उत्तर खोजा है, और अधिकांश उत्तरों में सलाह है कि इसे क्यों न करें। हालाँकि, यहाँ का परिदृश्य है, और यह आवश्यक बनाता है:

मेरे पास एक कंसोल ऐप है, और प्रत्येक उपयोगकर्ता .profile में, ऐप के लिए एक स्टार्टअप कमांड है, और सीधे इसे शुरू करने वाले कमांड के बाद, एक "निकास" कमांड है, जो उन्हें सिस्टम से बाहर लॉग करता है। मैं केवल यह चाहता हूं कि वे इस कंसोल ऐप को इसके द्वारा दिए गए इंटरफेस के माध्यम से एक्सेस करने में सक्षम हों। स्टार्टअप पर, ऐप उपयोगकर्ता को ग्राहकों की एक सूची के साथ प्रस्तुत करता है जिसे ऐप के माध्यम से एक्सेस किया जा सकता है, प्रत्येक क्लाइंट के पास अपनी डेटा निर्देशिका होती है। उपयोगकर्ताओं को केवल उन ग्राहकों तक पहुंच प्रदान की जाती है, जिनके लिए उन्हें एक्सेस की आवश्यकता होगी।

अब यहाँ समस्या है: यदि मैं उपयोगकर्ताओं को SSH एक्सेस देता हूँ, तो वे SFTP क्लाइंट का उपयोग करके भी लॉग इन कर पाएंगे, जो उन्हें ऐप के लिए डेटा निर्देशिकाओं तक सीधी पहुँच प्रदान करेगा, जो बहुत ही अवांछनीय है, क्योंकि वह भी देगा उन्हें डेटा निर्देशिकाओं तक पहुंच प्राप्त होनी चाहिए, जिनके लिए उनकी पहुंच नहीं होनी चाहिए।

टेलनेट / एफ़टीपी संयोजन का उपयोग करते समय यह एक ऐसी सरल बात थी, लेकिन अब जब मैं उपयोगकर्ताओं को इंटरनेट पर कहीं से भी एक्सेस देना चाहता हूं, तो मैं उन्हें एसएफटीपी से बाहर निकालने का कोई तरीका नहीं ढूंढ पाया, जबकि अभी भी उन्हें शेल तक पहुंचने की अनुमति है जहां वे ऐप चला सकते हैं।

संपादित करें:

यदि यह स्पष्ट नहीं है, तो निम्नलिखित उत्तर को SFTP को सर्वर पर शेल एक्सेस के साथ किसी भी व्यक्ति द्वारा उपयोग करने से रोकने की एक सुरक्षित विधि के रूप में इरादा नहीं है। यह सिर्फ एक उत्तर है जो बताता है कि बाहरी दृश्यता से इसे कैसे अक्षम किया जाए। उपयोगकर्ता स्तर की सुरक्षा के बारे में चर्चा के लिए, @cpast और @Aleksi Torhamo से उत्तर देखें। यदि सुरक्षा आपका ध्यान है, तो यह उत्तर उचित नहीं है। यदि सरल सेवा दृश्यता आपका ध्यान केंद्रित है, तो यह आपका उत्तर है।

अब हम मूल उत्तर जारी रखते हैं:

Sshd_config (और फिर से शुरू करें sshd) में sftp सपोर्ट पर टिप्पणी करें :

#Subsystem sftp /usr/lib/openssh/sftp-server

जैसा कि दूसरों ने उल्लेख किया है, अक्षम करना sftpकहीं भी पर्याप्त नहीं है - अप्रतिबंधित sshपहुंच वाला उपयोगकर्ता किसी भी फ़ाइल को देख सकता है, जिसे उनके खाते में देखने की अनुमति है, वे संशोधित करने की अनुमति वाली किसी भी चीज़ को संशोधित कर सकते हैं और आसानी से कुछ भी डाउनलोड कर सकते हैं जिसे वे अपने स्वयं के लिए पढ़ सकते हैं। मशीन। उन्हें ऐसा करने से रोकने का एकमात्र तरीका वास्तव में उनकी पहुंच को प्रतिबंधित करना है। .profileउपयोगकर्ताओं को प्रतिबंधित करने के लिए इस पर भरोसा करना भी आदर्श नहीं है , क्योंकि यह ऐसा नहीं है (संपादित करें: जैसा कि अलेक्सई ने अपने जवाब में उल्लेख किया है, यह वास्तव में बाईपास के लिए तुच्छ है .profile; इसके बारे में बात .profileयह है कि यह सुविधा के लिए है, सुरक्षा नहीं, इसलिए यह नहीं है। उपयोगकर्ता को प्रतिबंधित करने का इरादा है। सुरक्षा के लिए डिज़ाइन की गई चीज़ों का उपयोग करें, नीचे की चीज़ों की तरह, सुरक्षा प्रदान करने के लिए)।

ऐसा करने के दो मूल तरीके हैं: आप उन्हें फ़ाइल अनुमतियों के माध्यम से प्रतिबंधित कर सकते हैं, या उन्हें केवल अपने कंसोल ऐप को निष्पादित करने के लिए मजबूर कर सकते हैं। दूसरा तरीका बेहतर है: उन उपयोगकर्ताओं को असाइन करें जिन्हें कंसोल ऐप को एक समूह में प्रतिबंधित किया जाना चाहिए (जैसेcustomers ) ; फिर, sshd_configनिम्न पंक्तियों को जोड़ें:

Match Group customers
ForceCommand /path/to/app

यह क्या करता है ताकि इसे बनाया जाए ताकि उस समूह के उपयोगकर्ताओं के सभी कनेक्शन कंसोल ऐप खोलें; वे sftpसर्वर टूल सहित कुछ और शुरू नहीं कर सकते । यह उन्हें सिस्टम के साथ और कुछ भी करने से रोकता है, और इसके विपरीत .profile, स्वयं SSH सर्वर का उपयोग करता है ( .profileशेल में उन्हें प्रतिबंधित करता है)ForceCommand अन्य चीजों को करने से भी रोकता है जिसमें शेल शुरू करना शामिल नहीं है)। इसके विपरीत .profile, यह एक सुरक्षा चीज के रूप में बनाया गया है; यह विशेष रूप से दुर्भावनापूर्ण उपयोगकर्ता को इसका विरोध करने के लिए बनाया गया है।

कंसोल को चलाने के लिए एक नया उपयोगकर्ता बनाने में (शायद अवर) विकल्प शामिल होगा। फिर आप उस उपयोगकर्ता के डेटा निर्देशिकाओं को प्रतिबंधित करेंगे, उस उपयोगकर्ता के स्वामित्व वाले कंसोल ऐप को सेट करें, और u+sप्रोग्राम पर सेट करें। यह setuidबिट है; इसका अर्थ है कि कोई व्यक्ति जो कंसोल प्रोग्राम चलाता है, प्रोग्राम के मालिक की अनुमति से ऐसा करता है। इस तरह, उपयोगकर्ता के पास स्वयं निर्देशिकाओं तक पहुंच नहीं है, वे केवल कार्यक्रम के माध्यम से प्राप्त करते हैं। हालाँकि, आपको शायद इसका उपयोग करना चाहिए ForceCommand, क्योंकि यह "बस इस कार्यक्रम को चलाने" के लिए सभी पहुंच को प्रतिबंधित करता है।

इसके साथ करने का प्रयास न करें .profile क्योंकि यह कोई सुरक्षा प्रदान नहीं करता है और वास्तव में कुछ भी नहीं रोकता है!

इससे कोई फर्क नहीं पड़ता कि आप क्या डालते हैं .profile, क्योंकि आप इसे ssh कमांड लाइन पर चलाने के लिए एक कमांड देकर बाईपास कर सकते हैं, जैसे ssh user@host command:। आप अभी भी सामान्य शेल एक्सेस प्राप्त कर सकते हैं ssh -t user@host bash।

Sftp सबसिस्टम को अक्षम करना, जैसे किसी अन्य उत्तर में वर्णित है, बिल्कुल भी मदद नहीं करता है। सबसिस्टम अनिवार्य रूप से कमांड के लिए केवल उपनाम हैं, और आप अभी भी सामान्य रूप से sftp का उपयोग कर सकते हैं sftp -s /path/to/sftp-executable user@host।

जैसे cpast और कुछ टिप्पणीकारों ने कहा है, आपको पहुँच को प्रतिबंधित करने के लिए उचित तंत्र का उपयोग करना चाहिए। अर्थात्,

• का प्रयोग करें ForceCommandमेंsshd_config
• Passwordless लॉगिन और प्रयोग करें command="..."में.ssh/authorized_keys
• उपयोगकर्ता के शेल को ऐसी चीज़ में बदलें जो उपयोगकर्ता को प्रतिबंधित करता है

टिप्पणियाँ:

• command="..." केवल एक कुंजी के लिए लागू होता है, इसलिए यह पासवर्ड या किसी अन्य कुंजी का उपयोग करके उपयोगकर्ता के लिए ssh लॉगिन को प्रतिबंधित नहीं करता है
• आप पोर्ट फ़ॉरवर्डिंग आदि को भी प्रतिबंधित करना चाह सकते हैं (पोर्ट फ़ॉरवर्डिंग, x11 फ़ॉरवर्डिंग, एजेंट फ़ॉरवर्डिंग और पीटीई आवंटन वे हैं जिनके बारे में मैंने सुना है)
  • AllowTcpForwarding आदि में sshd_config
  • no-port-forwarding आदि में .ssh/authorized_keys
• यदि आपके पास अन्य डेमॉन (जैसे एफ़टीपी) चल रहे हैं, तो आपको यह सत्यापित करना चाहिए कि वे उपयोगकर्ता को अंदर नहीं जाने देते (कुछ डेमॉन उपयोगकर्ता के शेल के आधार पर यह निर्णय लेते हैं, इसलिए यदि आप इसे बदलते हैं, तो आप इसे फिर से जांचना चाह सकते हैं)
• आप उपयोगकर्ता के शेल को एक स्क्रिप्ट में बदल सकते हैं जो वह करता है जो आप चाहते हैं; यह या तो तर्कों के बिना चलाया जाता है या पसंद किया जाता हैscript -c 'command-the-user-wanted-to-run'
• दोनों ForceCommandऔर command="..."उपयोगकर्ता के शेल के माध्यम से कमांड चलाते हैं, इसलिए वे काम नहीं करते हैं यदि उपयोगकर्ता का शेल उदा। /bin/falseया/sbin/nologin

डिस्क्लेमर: मैं किसी भी तरह से इस मामले का कोई विशेषज्ञ नहीं हूं, इसलिए जब तक मैं कह सकता हूं कि यह .profileचीज सुरक्षित नहीं है, मैं वादा नहीं कर सकता कि कुछ अन्य तरीकों के साथ "गेटचा" नहीं है, जो मुझे नहीं पता के बारे में। वे जहां तक ​​जानते हैं, मैं सुरक्षित हूं, लेकिन मैं इंटरनेट पर गलत होने वाला पहला व्यक्ति नहीं हूं।

SSH को सक्षम करना और SFTP को विश्व स्तर पर और प्रति उपयोगकर्ता / समूह दोनों में अक्षम करना संभव है।

मुझे व्यक्तिगत रूप से इसकी आवश्यकता है क्योंकि मैं एसएसएच पर कुछ गिट रिपॉजिटरी तक पहुंच देना चाहता हूं, और मुझे उन प्रणालियों को अक्षम करना पसंद है जिनकी आवश्यकता नहीं है। उस स्थिति में एसएफटीपी की जरूरत नहीं है।

वैश्विक स्तर पर

आप कुछ तरीकों से सभी उपयोगकर्ताओं के लिए SFTP को अक्षम कर सकते हैं।

लापता उपतंत्र

SSH द्वारा उपयोग किए गए SFTP डेमॉन को Subsystemकीवर्ड के माध्यम से कॉन्फ़िगर किया जा सकता है । से sshd_config(5)मैनुअल:

Subsystem
        Configures an external subsystem (e.g. file transfer daemon).
        Arguments should be a subsystem name and a command (with optional
        arguments) to execute upon subsystem request.

        The command sftp-server(8) implements the “sftp” file transfer
        subsystem.

        Alternately the name “internal-sftp” implements an in-process
        “sftp” server.  This may simplify configurations using
        ChrootDirectory to force a different filesystem root on clients.

        By default no subsystems are defined.

अंतिम पंक्ति बताती है कि "sftp" के लिए किसी भी सबसिस्टम को परिभाषित नहीं करने के लिए यह पर्याप्त होना चाहिए।

झूठा झूठ

आप SSH द्वारा उपयोग किए जाने वाले SFTP डेमॉन को कुछ अनुपयोगी बनाकर SFTP को निष्क्रिय कर सकते हैं। उदाहरण के लिए, "sftp" सबसिस्टम को कॉन्फ़िगर करें /bin/false:

Subsystem sftp /bin/false

जब कुछ SFTP के माध्यम से लॉग इन करने की कोशिश करेगा, SSH डेमन "sftp डेमन" को स्पॉन करने की कोशिश करेगा /bin/false। /bin/falseकार्यक्रम केवल एक बात करता है, और है कि त्रुटि कोड है। SFTP कनेक्शन के प्रयास को प्रभावी रूप से नकार दिया जाता है।

प्रति उपयोगकर्ता / समूह

उपयोगकर्ता, समूह, या अन्य मानदंडों के एक जोड़े को SFTP को अक्षम करना भी संभव है।

यदि आप अपने उपयोगकर्ता को नियमित शेल प्रॉम्प्ट प्राप्त करना चाहते हैं तो यह काम नहीं करता है। न ही यह समझ में आता है, जैसा कि आपके पास शेल एक्सेस होने पर आप अधिकांश सामान को दरकिनार कर सकते हैं। यह केवल तभी काम करेगा जब आप केवल किसी विशिष्ट प्रोग्राम को एक्सेस देना चाहते हैं।

मेल मिलाना

उपयोगकर्ताओं के एक सेट से मिलान करने के लिए, आप SSH को Matchकीवर्ड से कॉन्फ़िगर कर सकते हैं । से sshd_config(5)मैनुअल:

Match
        ...

        The arguments to Match are one or more criteria-pattern pairs or the
        single token All which matches all criteria.  The available criteria
        are User, Group, Host, LocalAddress, LocalPort, and Address.  The
        match patterns may consist of single entries or comma-separated
        lists and may use the wildcard and negation operators described in
        the PATTERNS section of ssh_config(5).

        ...

कुछ उदाहरण:

• Match User eva "ईवा" उपयोगकर्ता से मेल खाता है
• Match User stephen,maria "स्टीफन" और "मारिया" उपयोगकर्ताओं से मेल खाता है
• Match Group wheel,adams,simpsons "पहिया", "एडम्स", "सिम्पसंस" समूहों से मेल खाता है

यदि आप अधिक जानकारी चाहते हैं, तो sshd_config(5)मैनुअल में लोड हैं ।

मजबूरन कमान

जब आप SSH के माध्यम से जुड़ते हैं तो आम तौर पर आपको उपयोगकर्ता का लॉगिन शेल मिलता है, लेकिन एक निश्चित कमांड को बाध्य करने के लिए SSH को कॉन्फ़िगर किया जा सकता है। SFTP सहित किसी भी SSH कनेक्शन के लिए कमांड को मजबूर किया जाता है, और इस प्रकार आपके पास इच्छित कमांड को बाध्य करने का विकल्प हो सकता है।

बल के कमांड को ForceCommandकीवर्ड के साथ कॉन्फ़िगर किया जा सकता है । से sshd_config(5)मैनुअल:

ForceCommand
        Forces the execution of the command specified by ForceCommand,
        ignoring any command supplied by the client and ~/.ssh/rc if
        present.  The command is invoked by using the user's login shell
        with the -c option.  This applies to shell, command, or subsystem
        execution.  It is most useful inside a Match block.  The command
        originally supplied by the client is available in the
        SSH_ORIGINAL_COMMAND environment variable.  Specifying a command of
        “internal-sftp” will force the use of an in-process sftp server that
        requires no support files when used with ChrootDirectory.  The
        default is “none”.

तो आप विवश कमांड का उपयोग करने के लिए मजबूर कर सकते हैं ForceCommand <your command>। उदाहरण के लिए:

Match User kim
        ForceCommand echo 'successful login man, congrats'

उदाहरण

मेरे मामले में, जहां मैं git एक्सेस देना चाहता हूं, मुझे केवल उपयोगकर्ता तक पहुंच की आवश्यकता है git-shell। यह वह खंड है जो कुछ सुरक्षा विकल्पों के साथ मेरे git उपयोगकर्ताओं के लिए SFTP को निष्क्रिय करता है:

Match Group git

        # have to do this instead of setting the login shell to `git-shell`,
        # to disable SFTP
        ForceCommand /usr/bin/git-shell -c "$SSH_ORIGINAL_COMMAND"

        # disable stuff we don't need
        AllowAgentForwarding no
        AllowTcpForwarding no
        AllowStreamLocalForwarding no
        PermitOpen none
        PermitTunnel no
        PermitTTY no
        X11Forwarding no