Bảo mật chỉnh sửa từ xa các tệp có thể truy cập root qua SSH

8

Theo thực tiễn bảo mật tốt nhất, người ta không nên cho phép đăng nhập root qua SSH bằng mật khẩu hoặc khóa. Thay vào đó, sudo nên được sử dụng.

Tuy nhiên, nếu ai đó muốn sử dụng SSH (SFTP) để chỉnh sửa từ xa các tệp cấu hình máy chủ, như các tệp sống trong / etc (Apache, Cron, bạn đặt tên cho nó), thì nên làm thế nào?

  • Có thể chỉnh sửa tập tin từ xa gốc bằng SFTP có thể tương thích với các thực tiễn tốt nhất về bảo mật

  • Làm thế nào một người nên thiết lập quyền truy cập tệp, nhóm người dùng và theo đó các thực tiễn tốt nhất về bảo mật được tuân theo

Hiện tại tôi sử dụng xác thực khóa công khai được bảo vệ bằng mật khẩu để đăng nhập với quyền root, nhưng tôi không chắc liệu tôi có thể làm gì an toàn hơn không, do đó, các thông tin đăng nhập SSH đối mặt với root có thể bị vô hiệu hóa hoàn toàn.

Máy chủ là Ubuntu 12.04.

ubuntu  ssh  sftp  openssh  public-key 
Mikko Ohtamaa
nguồn
Vậy hệ điều hành khách của bạn là gì? Xin hãy cụ thể hơn trong câu hỏi của bạn!
XUÂN
Tôi không thấy lý do tại sao đăng nhập gốc dựa trên khóa trực tiếp nên kém an toàn hơn sudo.
jpc

Câu trả lời:

2

Nếu thực sự muốn chỉnh sửa từ xa, một giải pháp đơn giản có thể là giữ một bản sao / etc (hoặc một phần của nó) trên một người dùng cục bộ khác và thiết lập hệ thống để sao chép các thay đổi từ đó sang real / etc. Thậm chí tốt hơn là sử dụng một git - hoặc svn, hoặc bất kỳ hệ thống kiểm soát phiên bản nào khác mà bạn chọn - và bạn cũng sẽ có nhật ký thay đổi bổ sung.

Bạn cũng có thể thiết lập chroot trên SFTP và vô hiệu hóa đăng nhập bình thường cho một tài khoản cụ thể - hoặc chỉ giới hạn đăng nhập cho người dùng đó từ các địa chỉ IP được chỉ định - với cùng tính năng của OpenSSH (Match Group, v.v.). Về điều đó, hãy kiểm tra http: //www.thegeek ware.com/2012/03/chroot-sftp-setup/

Tuy nhiên, hãy nhớ rằng hầu hết các tệp cấu hình trên / etc đều có thể truy cập root chỉ bằng cách chỉnh sửa chúng. Tôi đã thấy các hệ thống được cấu hình với svn / git để kiểm tra xác thực các tệp cấu hình trước khi chấp nhận thay đổi của các tệp - có thể được sử dụng để chỉ chấp nhận các định dạng cấu hình an toàn.

Dù sao, có rất nhiều giải pháp khác nhau cho vấn đề này. Đây chỉ là một cách tiếp cận.

thejhh
nguồn
1

Tôi không thấy lý do tại sao không nên chỉnh sửa các tệp đó thông qua SSH. Tôi làm điều đó mọi lúc, vd

sudo nano /etc/apache2/sites-available/default

Nếu bạn muốn sử dụng trình soạn thảo GUI, bạn có thể sử dụng X đường hầm. Bạn phải cho phép nó trong tập tin ssh conf của bạn và sau đó sử dụng -Xtùy chọn trên dòng lệnh ssh của bạn.

ssh -X server.example.com

Sau đó, bạn có thể chỉnh sửa tệp tệp trình soạn thảo GUI:

sudo gedit /etc/apache2/sites-available/default
Mikkel
nguồn
Đây là chỉnh sửa từ xa như ý nghĩa mà tôi đã đề cập; Bạn đang chạy gedit trên máy chủ, không phải là trình soạn thảo văn bản cục bộ có thể chỉnh sửa các tệp qua SSH / SFTP
Mikko Ohtamaa
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.