Cho phép scp nhưng không ssh - mà không cần scponly

8

Tôi đang di chuyển máy chủ Debian sang Ubuntu 16.04. Một trong các gói trên máy chủ Debian scponlyhoạt động như một vỏ và chỉ cho phép kết nối ssh cho mục đích scp (không đăng nhập hoặc chạy bất cứ thứ gì ngoài scpnhị phân). Chi tiết có thể được tìm thấy ở đây . Gói này đã có trên Debian thông qua ít nhất 2 lần nâng cấp máy chủ vật lý, vô số nâng cấp hệ điều hành và có lẽ có từ khoảng năm 2007.

scponlykhông có trong bất kỳ kho lưu trữ 16.04 nào và không được biên dịch trên launchpad. Mặc dù tôi hoàn toàn có khả năng cài đặt nó từ nguồn, nhưng điều này khiến tôi băn khoăn liệu trong hơn 10 năm qua có cách nào tốt hơn để cấu hình ssh chỉ cho phép các lệnh scp, đó là Ubuntu 16.04 thân thiện hơn và ít dựa trên mờ hơn và quá khứ xa xăm. Có ý kiến ​​gì không?

16.04  ssh  scp 
abligh
nguồn

Câu trả lời:

15

Theo câu trả lời của serverfault.com Cho phép SCP nhưng không đăng nhập thực tế bằng SSH , một cách hiện được hỗ trợ là sử dụng rssh, có sẵn từ universekho lưu trữ:

sudo apt-add-repository universe

sudo apt-get install rssh

Để cho phép SCP, bạn phải bỏ dòng tương ứng trong /etc/rssh.conftệp (cộng với bất kỳ giao thức nào khác bạn muốn bật):

allowscp
#allowsftp
#allowcvs
#allowrdist
#allowrsync
#allowsvnserve

Sau đó, vấn đề chỉ là thay đổi vỏ đăng nhập của người dùng sang vỏ rssh, vd

sudo chsh -s /usr/bin/rssh steeldriver

Sau đó, bạn có thể kiểm tra SCP hoạt động, vd

$ scp steeldriver@localhost:~/Pictures/somefile.png ./
steeldriver@localhost's password: 
somefile.png                                                               100%   34KB  33.7KB/s   00:00    
$

nhưng SSH không thành công với thông báo từ chối như

$ ssh steeldriver@localhost
steeldriver@localhost's password: 
Welcome to Ubuntu 14.04.4 LTS (GNU/Linux 3.13.0-88-generic x86_64)

 * Documentation:  https://help.ubuntu.com/

Last login: Wed Jul  6 16:23:47 2016 from localhost

This account is restricted by rssh.
Allowed commands: scp

If you believe this is in error, please contact your system administrator.

Connection to localhost closed.

Lưu ý rằng dường như không cần thiết phải thêm /usr/bin/rsshvào danh sách các shell đăng nhập được phép trong / etc / shell

thép thép
nguồn
Cảm ơn. Được nâng cấp một thời gian trước và kiểm tra ngày hôm nay nó hoạt động để được chấp nhận.
abligh
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.