Accès à SFTP bin/bash

Question

J'ai ouvert un domaine dans Plesk et je voulais donner à l'utilisateur l'accès à SFTP afin de sécuriser les transferts via FTP. Lorsque j'ai choisi "Shell accès au serveur avec les informations d'identification de l'utilisateur/bin/bash", j'ai reçu un message qu'il est extrêmement dangereux d'activer cette fonctionnalité et je ne devrais l'activer que si je fais confiance à l'utilisateur.

J'essaie de comprendre comment l'activation de SFTP pour un utilisateur peut être dangereuse.

Merci d'avance!

Joel

Answer 1

Eh bien, je n'ai pas la moindre idée de plesk, mais sftp utilise tunnel ssh pour la communication entre le client et le serveur. Par conséquent, l'utilisateur peut accéder à votre serveur avec ssh, et obtenir un shell à part entière pour faire des choses désagréables. Si vous ne faites pas attention, il peut lire les maisons d'autres utilisateurs, ou lire les configs de votre serveur. Sauf si vous avez chrooté l'utilisateur, et que vous avez fait attention aux limites hdd, cpu, mem, ..., vous ne devez pas autoriser l'accès à votre serveur à un utilisateur potentiellement indigne de confiance via ssh. A ma connaissance, il n'y a aucun moyen d'autoriser sftp/scp sans un accès SSH complet.

Answer 2

Généralement, donner à quelqu'un le shell/bin/bash (chrooted) dans Plesk est le moyen d'accomplir ceci. Je ne considère pas que ce soit un énorme problème de sécurité, personnellement, mais cela dépend de la façon dont vous avez verrouillé votre serveur en ce qui concerne les autorisations.

Vous pouvez également vous reporter à la configuration de proftpd pour utiliser SSL plutôt que de leur donner un accès SFTP, car cela ne nécessite pas de shell, et leur shell peut toujours être/bin/false.

Answer 3

Si vous voulez seulement donner à l'utilisateur scp/sftp-access, vous pouvez définir le shell à scponly.

Dans Ubuntu scponly est fourni par le paquet scponly et se trouve dans/usr/bin/scponly après l'installation.