SSH पर रूट-सुलभ फ़ाइलों का सुरक्षित दूरस्थ संपादन

सुरक्षा सर्वोत्तम प्रथाओं के अनुसार, SSH को पासवर्ड या कुंजियों के साथ रूट लॉगिन की अनुमति नहीं देनी चाहिए। इसके बजाय, सुडो का उपयोग किया जाना चाहिए।

हालाँकि, यदि कोई सर्वर कॉन्फ़िगरेशन फ़ाइलों के दूरस्थ संपादन के लिए SSH (SFTP) का उपयोग करना चाहता है, जैसे / / (Apache, Cron, आप इसे नाम देते हैं) में रहते हैं, तो यह कैसे किया जाना चाहिए?

• SFTP पर रूट-एक्सेसेबल फ़ाइल रिमोट एडिटिंग सुरक्षा सर्वोत्तम प्रथाओं के साथ संगत हो सकती है

• किसी को फ़ाइल अनुमतियाँ, उपयोगकर्ता समूह और ऐसे कैसे सेट करना चाहिए कि सुरक्षा सर्वोत्तम प्रथाओं का पालन किया जाए

वर्तमान में मैं रूट के रूप में लॉगिन करने के लिए पासफ़्रेज़ संरक्षित सार्वजनिक कुंजी प्रमाणीकरण का उपयोग करता हूं, लेकिन मुझे यकीन नहीं है कि अगर मैं कुछ और सुरक्षित कर सकता हूं, तो एसएसएच लॉगिन का सामना करने वाले रूट को पूरी तरह से अक्षम किया जा सकता है।

सर्वर Ubuntu 12.04 है।

यदि दूरस्थ संपादन वास्तव में वांछित है, तो एक सरल समाधान किसी अन्य स्थानीय उपयोगकर्ता पर / etc (या इसके कुछ हिस्सों) की एक प्रति रख सकता है और वहां से वास्तविक / आदि में परिवर्तन की प्रतिलिपि बनाने के लिए सिस्टम को सेटअप कर सकता है। इससे भी बेहतर होगा कि आप अपनी पसंद के git - या svn, या किसी अन्य संस्करण नियंत्रण प्रणाली का उपयोग करें - और आपके पास परिवर्तनों के अतिरिक्त लॉग भी होंगे।

एसएफटीपी पर चेरोट को सेटअप करना और एक विशिष्ट खाते के लिए सामान्य लॉगिन को अक्षम करना संभव है - या केवल ओपन आईपीएच (मैच ग्रुप आदि) की एक ही विशेषता के साथ निर्दिष्ट आईपी पते से उस उपयोगकर्ता के लिए लॉगिन को सीमित करना। उसके बारे में, http://www.thegeekstuff.com/2012/03/chroot-sftp-setup/ देखें

हालाँकि, कृपया याद रखें कि अधिकांश विन्यास फाइल / आदि को रूट एडिट करना संभव है बस उन्हें संपादित करके। मैंने देखा है कि फाइल के परिवर्तनों को स्वीकार करने से पहले विन्यास फाइल की मान्यता की जांच करने के लिए svn / git के साथ सिस्टम को कॉन्फ़िगर किया गया है - जिसका उपयोग केवल सुरक्षित कॉन्फ़िगरेशन प्रारूपों को स्वीकार करने के लिए किया जा सकता है।

वैसे भी, समस्या के लिए बहुत सारे समाधान हैं। यह केवल एक दृष्टिकोण था।

मैं यह नहीं देखता कि एसएसएच के माध्यम से उन फाइलों को संपादित करना क्यों ठीक नहीं होगा। मैं इसे हर समय करता हूं, जैसे

sudo nano /etc/apache2/sites-available/default

यदि आप GUI संपादक का उपयोग करना चाहते हैं, तो आप X टनलिंग का उपयोग कर सकते हैं। आपको इसे अपनी ssh conf फ़ाइल में अनुमति देनी होगी और फिर -Xअपनी ssh कमांड लाइन पर विकल्प का उपयोग करना होगा ।

ssh -X server.example.com

फिर आप फ़ाइल फ़ाइल को GUI संपादक को संपादित कर सकते हैं:

sudo gedit /etc/apache2/sites-available/default

उदात्त पाठ में SSH सुरंग के माध्यम से ऐसा करने के एक उदाहरण के लिए यह SO उत्तर देखें ।