Ситуация такова есть фирма которая делает нам сайт - им необходим доступ к серверу для обновления сайта (файлы), чтобы не лазили по всему серверу у пользователя который имеет права заливать файлы урезаны права доступа. Кроме как к своему домашнему каталогу (там и лижит сайт). Вопрос состаит в том чтобы полтостью откозаться от FTP доступа и оставить только ssh -
есть программа winscp.sourceforge.net которая позволяет общатся с сервером через scp и недаёт доступа к ssh - но остаётся проблема с пользовательским каталогом - как ограничить чтоб не шарился по всему диску ?Система FreeBSD 5.3
Заранее спасибо.
1) может использовать sftp :)
2) http://www.opennet.me/openforum/vsluhforumID8/3160.html не твой случай ?
>Ситуация такова есть фирма которая делает нам сайт - им необходим доступ
>к серверу для обновления сайта (файлы), чтобы не лазили по всему
>серверу у пользователя который имеет права заливать файлы урезаны права доступа.
>Кроме как к своему домашнему каталогу (там и лижит сайт). Вопрос
>состаит в том чтобы полтостью откозаться от FTP доступа и оставить
>только ssh -
>есть программа winscp.sourceforge.net которая позволяет общатся с сервером через scp и недаёт
>доступа к ssh - но остаётся проблема с пользовательским каталогом -
>как ограничить чтоб не шарился по всему диску ?
>
>Система FreeBSD 5.3
>
>Заранее спасибо.
>Ситуация такова есть фирма которая делает нам сайт - им необходим доступ
>к серверу для обновления сайта (файлы), чтобы не лазили по всему
>серверу у пользователя который имеет права заливать файлы урезаны права доступа.
>Кроме как к своему домашнему каталогу (там и лижит сайт). Вопрос
>состаит в том чтобы полтостью откозаться от FTP доступа и оставить
>только ssh -
>есть программа winscp.sourceforge.net которая позволяет общатся с сервером через scp и недаёт
>доступа к ssh - но остаётся проблема с пользовательским каталогом -
>как ограничить чтоб не шарился по всему диску ?
>
>Система FreeBSD 5.3
>
>Заранее спасибо./usr/ports/shells/scponly - использование только scp (winscp) без
возможности интерактивного shell'адругой вариант - chroot openssh (сборка openssh-portable: make WITH_OPENSSH_CHROOT=yes) или jai
другой вариант rssh (restricted shell + openssh)
и тд и тп, для описанных целей - scponly самое то, быстро, просто и сердито
не так давно в нём roothole находили. нафиг такое надо?
>не так давно в нём roothole находили. нафиг такое надо?уважаемый, если вы затрагиваете такие серьезные вещи как vulnerabilities,
прежде чем писать о таких вещах, необходимо ТОЧНО знать, в ином случае
вы вводите людей в заблуждение.Серьезных exploit'ов связанных с scponly не было с 2003г и тем более roothole. Последняя неприятность с scponly - возможность выполнения
удаленных команд - это еще надо знать каких и как этим воспользоваться,
ну например сбор информации об удаленной системе и никак не roothole.
Ну и самое важно, сие было исправлено в последней версии scponly и
rssh.
>Ситуация такова есть фирма которая делает нам сайт - им необходим доступ
>к серверу для обновления сайта (файлы), чтобы не лазили по всему
>серверу у пользователя который имеет права заливать файлы урезаны права доступа.
>Кроме как к своему домашнему каталогу (там и лижит сайт). Вопрос
>состаит в том чтобы полтостью откозаться от FTP доступа и оставить
>только ssh -
>есть программа winscp.sourceforge.net которая позволяет общатся с сервером через scp и недаёт
>доступа к ssh - но остаётся проблема с пользовательским каталогом -
>как ограничить чтоб не шарился по всему диску ?
>
>Система FreeBSD 5.3
Попробуй наложить патч на sftp: http://mail.incredimail.com/howto/openssh/addons/sftp-chroot...
Когда-то такая связка прекрасно работала с winscp.
chroot организовывает сам sftp, в этом случае.
пробую разобратся с scponly - всё получилось - а какбы пользователя запереть в своём каталоге - чтобы от не имел возможности лазить по всёй файловой системе. В фтп - это было.....
>пробую разобратся с scponly - всё получилось - а какбы пользователя
>запереть в своём каталоге - чтобы от не имел возможности лазить
>по всёй файловой системе. В фтп - это было....../configure --enable-chrooted-binary