ऐसे सिस्टम पर SFTP का उपयोग कैसे करें जिसमें रूट एक्सेस और ssh कुंजी आधारित प्रमाणीकरण के लिए sudo की आवश्यकता होती है?

मैं रूट अनुमतियों की आवश्यकता वाली फ़ाइलों को संपादित करने के लिए SFTP का उपयोग करने में सक्षम होना चाहता हूं।

मैं स्मार्ट कार्ड पर SSH कुंजी आधारित प्रमाणीकरण - rsa कुंजी का उपयोग कर रहा हूं।

अगर सिस्टम को रूट लेवल कमांड करने के लिए sudo की आवश्यकता होती है, तो मैं इसे कैसे प्राप्त कर सकता हूं?

क्या मैं केवल SFTP के लिए sudo को दरकिनार करने का एक तरीका बना सकता हूं?

वहाँ sudo और कुंजी प्रमाणीकरण रखने के लिए एक रास्ता है।

मैं उबंटू से कनेक्ट करने के लिए विंडोज़ का उपयोग कर रहा हूं। मुझे मैक के साथ उबंटू को जोड़ने के लिए भी काम करने की आवश्यकता है।

मैं समझता हूं कि सिस्टम सेवाओं को प्रशासित करने के लिए SSH टनलिंग कैसे करें। वर्तमान में, मैं सीधे रूट यूजर लॉगिन का उपयोग करता हूं, लेकिन पासवर्ड लॉगिन अक्षम है। मुझे समझ नहीं आया कि एक ही समय में sudo और SFTP का उपयोग कैसे किया जाए। यह एक गैर-रूट उपयोगकर्ता के रूप में लॉगिन की आवश्यकता के लिए सबसे अच्छा अभ्यास लगता है और फिर सूडो के उपयोग की आवश्यकता होती है क्योंकि लॉग रिकॉर्ड करेगा जो प्रत्येक कमांड के लिए बढ़ा विशेषाधिकार दिया गया था।

कुंजी आधारित प्रमाणीकरण का उपयोग करते समय क्या मुझे इसके बारे में चिंता करनी चाहिए या क्या यह सुरक्षा / लॉगिंग में एक मामूली अंतर है? ऐसा लगता है कि कुंजी आधारित प्रमाणीकरण लॉग में उपयोगकर्ता के सीरियल नंबर को रिकॉर्ड करता है, और आपके पास प्रत्येक उपयोगकर्ता की पहचान करने के लिए रूट उपयोगकर्ता के लिए कई कुंजी हो सकती हैं। यह मुझे sudo का उपयोग करने के समान ही प्रभाव प्रतीत होता है। क्या मै गलत हु?

SFTP आपके द्वारा उपयोग किए जाने वाले खाते से प्रतिबंध के साथ, फ़ाइल संचालन के लिए एक कमांड एक्सेस है। आपको एक ही समय में sudo और SFTP का उपयोग असंभव बनाकर अधिक प्रशासनिक संचालन करने के लिए ssh का उपयोग करना चाहिए। यदि आपको एसएफटीपी का उपयोग किए बिना प्रतिबंध के पूरे डिस्क तक पहुंच की आवश्यकता है, तो इसे रूट खाते का उपयोग करके करें। वैसे भी आप एक ही समय में sftp और ssh पर रूट के साथ एक लॉगिन बना सकते हैं, निश्चित रूप से, दो अलग-अलग सत्रों का उपयोग करके।

सुरक्षा कुंजी सुरक्षा में सुधार करती हैं और कीबोर्ड इनपुट की आवश्यकता नहीं होने पर लॉगिंग को और अधिक आसान बनाती हैं। केवल लॉगिन बनाने में मदद करता है, आपके पास प्रत्येक खाता उपयोगकर्ता के लिए कई पासवर्ड हो सकते हैं और समान प्रभाव था।

संपादित करें: मैं भूल गया: यदि आप उपयोगकर्ता आईडी को 0 पर असाइन करते हैं, तो आप रूट के समान प्रभाव के साथ एक और खाता बना सकते हैं, लेकिन इसका कोई मतलब नहीं था, उसी तरह खतरनाक होना। अगर कोई व्यक्ति जड़ की तरह लॉगिन करने की कोशिश करता है, तो कुछ आपत्ति दे सकता है, लेकिन इसके अलावा, ज्यादा समझदारी नहीं थी।

सूडो के साथ सबसिस्टम को बुलाकर मेरे लिए काम किया।

उदाहरण के लिए एक Ubuntu होस्ट करने के लिए:

sftp -s "sudo /usr/lib/openssh/sftp-server" targethost.fqdn

इससे पहले कि @MartinVonWittich ने जो सुझाव दिया उसके ऊपर आप इस गतिविधि के लिए एक समर्पित SSH कुंजी युग्म सेट कर सकते हैं और उन्हें रूट उपयोगकर्ता की /root/.ssh/authorized_keysफ़ाइल में जोड़कर उनके दायरे को केवल एक कमांड तक सीमित कर सकते हैं।

# User backup's $HOME/.ssh/authorized_keys file
command="/usr/libexec/openssh/sftp-server" ssh-dss AAAAC8ghi9ldw== backup@host

यह इस सिस्टम में मूल जोड़ी के रूप में SFTP के लिए इसी कुंजी के साथ एक और सिस्टम को रूट के रूप में अनुमति देगा। आपके syslogऔर / या secure.logफ़ाइलों में इस कनेक्शन का रिकॉर्ड अभी भी होगा (यह मानकर कि आपका डिस्ट्रो इस लॉगिंग स्तर प्रदान करता है)।

नोट: इस विधि में सर्वर जिस किसी को भी एक्सेस करता है, उसके पास ब्लैंक्स एक्सेस होता है, इसलिए इसे समझदारी से इस्तेमाल करें। बेहतर अभी भी पढ़ना जारी रखें और इस क्षमता को चेरोट के साथ मिलाएं और केवल पहुंच को पढ़ें, जड़ के रूप में विशिष्ट स्थानों तक सीमित प्रतिबंधों और लक्षित पहुंच का निर्माण करें।

चुरोट और आसानी से

यहां आपके द्वारा शोषण की जाने वाली दूसरी तकनीक एसएफटीपी कनेक्शन को सीमित करने के लिए होगी ताकि इसे रूट के रूप में विशिष्ट स्थानों में काट दिया जाए, जिसके आधार पर एसएसएच कुंजी का उपयोग किया गया था। इस U & L Q & A शीर्षक से मेरा उत्तर देखें: अधिक जानकारी के लिए " SFTP के साथ पासवर्ड-कम बैकअप को प्रतिबंधित करें "।

आप sftp-serverइसके स्विच -Rऔर के माध्यम से भी नियंत्रित कर सकते हैं -d।

 -d start_directory
         specifies an alternate starting directory for users.  The pathname 
         may contain the following tokens that are expanded at runtime: %%
         is replaced by a literal '%', %h is replaced by the home directory
         of the user being authenticated, and %u is replaced by the user‐
         name of that user.  The default is to use the user's home 
         directory.  This option is useful in conjunction with the 
         sshd_config(5) ChrootDirectory option.

 -R      Places this instance of sftp-server into a read-only mode.  
         Attempts to open files for writing, as well as other operations 
         that change the state of the filesystem, will be denied.

सरल दृष्टिकोण जिसका मैंने अनुसरण किया, बस फाइलों को एक स्टेज क्षेत्र ( mkdirनई निर्देशिका जहां आप सर्वर पर अनुमतियाँ हैं) पर रखा और फिर फ़ाइलों को वहां से गंतव्य तक ले जाने के लिए फिर से ssh sudo cpया sudo mv।

मुझे इसी तरह की समस्या थी कि मैं विस्फीफ का उपयोग करना चाहता था, ताकि ज्यादातर समान मेजबानों के समूह पर कॉन्फ़िगरेशन फ़ाइलों को संपादित किया जा सके, जिसमें cssh और sudo हों और आप अपने समाधान को अपने वर्कफ़्लो में ढाल सकें।

sudoedit (sudo का हिस्सा) आपको किसी भी संपादक को एक नियमित उपयोगकर्ता के रूप में एक फाइल को संपादित करने के लिए उपयोग करने की अनुमति देता है, जिसके लिए आपके पास लिखने की अनुमति नहीं है और आप एक पर्यावरण चर के साथ संपादक को निर्दिष्ट कर सकते हैं। sudoedit फ़ाइल को कॉपी करता है, संपादक को कॉपी के नामों के साथ आमंत्रित करता है और संपादक के बाहर निकलने का इंतजार करता है, फिर संशोधित कॉपी को वापस वहीं कॉपी करता है जहां यह था। इसलिए मैंने एक 'एडिटर' बनाया जो संपादित नहीं करता, बस बाद में उपयोग के लिए फ़ाइल नोट करता है और प्रतीक्षा करता है और उस मार्कर का उपयोग करने वाले vimdiff के चारों ओर एक आवरण।

पहली फ़ाइल ~ / .bin / redit है

#!/usr/bin/perl -w
use strict;
use warnings;
use Sys::Hostname;
my $file = $ENV{HOME}.'/.var/redit/'.hostname();
sub cmkdir($){
    my $_=shift;
    mkdir $_ unless -d $_;
}
cmkdir $ENV{HOME}.'/.var/';
cmkdir $ENV{HOME}.'/.var/redit/';
foreach (@ARGV){
    my $fh;
    open $fh, '>', $file.'na' or warn;
    print {$fh} $_;
    close $fh;
    symlink $_, $file or die;
    print;
    <STDIN>;
    unlink $file or die;
    unlink $file.'na' or die;
}

दूसरा ~ / .bin / redit1 है

#!/usr/bin/perl -w
use strict;
use warnings;
use Sys::Hostname;
my $h=hostname();
@ARGV=qw(host1 host2 host3 host4) unless @ARGV;
print join " ", qw(gvimdiff), $ENV{HOME}.'/.var/redit/'.$h, map {'scp://'.$_.'/.var/redit/'.$_} grep {$_ ne $h} @ARGV;
exec qw(gvimdiff), $ENV{HOME}.'/.var/redit/'.$h, map {'scp://'.$_.'/.var/redit/'.$_} grep {$_ ne $h} @ARGV;

जिस तरह से मैं उनका उपयोग करता हूं मैं सभी चार मेजबानों के लिए एक कनेक्शन खोलने के लिए cssh का उपयोग करता हूं और फिर एक कमांड का उपयोग करता हूं EDITOR=~/.bin/redit sudoedit /etc/conf/fileऔर फिर एक अलग विंडो रन में ~/.bin/redit1, मेरे परिवर्तन करें, सहेजें और बाहर निकलें, cssh पर वापस जाएं और परिवर्तनों को करने के लिए एंटर दबाएं और बाहर निकलें sudoedit (जब तक कि मैं एक से अधिक फ़ाइल संपादित नहीं कर रहा हूं, जिस स्थिति में सूची में अगली फ़ाइल के लिए एडवांस रिडिट होता है और आप अगली फ़ाइल के लिए फिर से redit1 चलाते हैं।)

चूंकि आप जो कर रहे हैं वह कम जटिल है, केवल एक दूरस्थ होस्ट के साथ काम करने के कारण आपको redit1 की आवश्यकता नहीं है, आप केवल होस्ट पर अपने sftp संपादक को इंगित कर सकते हैं: .var / redit / host या समकक्ष।

मैं क्या कर रहा / रही हूँ, इसके बजाय (एस) एफ़टीपी के बजाय एससीपी का उपयोग करें, और शेल को sudo su -WinSCP में बदलें, यह उन्नत \ SCP \ Shell में है, लेकिन यह केवल scp प्रोटोकॉल के साथ काम करता है।

Sftp के लिए: यदि आपके पास ssh शेल sudo एक्सेस है, तो आप अपने यूज़रनेम को रूट यूज़रग्रुप में / etc / group में जोड़ सकते हैं और फिर उस ग्रुप rx अनुमतियों को उन फ़ोल्डरों को दे सकते हैं जिन्हें आप एक्सेस करना चाहते हैं।

आप सर्वर साइड पर अपनी sshd_config फ़ाइल में सम्मिलित कर सकते हैं:

Subsystem sftp sudo -n true && sudo -n /usr/lib/openssh/sftp-server || /usr/lib/openssh/sftp-server

इस तरह जो कोई भी NOPASSWD sudo राइट है उसे रूटेड sftp एक्सेस मिलेगा।

इस लाइन को / etc / ssh / sshd_config में जोड़ना मेरे लिए एक फिक्स था, और मौजूदा सबसिस्टम लाइन पर टिप्पणी करें Subsystem sftp sudo -n true && sudo -n /usr/lib/openssh/sftp-server || /usr/lib/openssh/sftp-server

फिर sudo systemctl sshd restart