Apache-2.2

為什麼非 root 帳戶可以訪問我的 debian 伺服器的基本目錄?

  • October 30, 2013

我在 debian 上有一個名為“usera”的帳戶。‘usera’ 的主目錄為 /home/whatever

當我使用“usera”及其憑據登錄 WinSCP 時,我可以將一個目錄“向上”進入 /home,然後最終進入“/”。我專門創建了這個帳戶來限制對這個主目錄的訪問,因為憑據是共享的。

注意:這個目錄也被用作 apache2 虛擬主機的 web 根目錄,但是 ‘usera’ 在 ‘www-data’ 組中,所以我不認為 apache 與這個問題有任何關係。

有什麼建議麼?

預設情況下 /home 和 / 是世界可讀的,並且 sshd 的 scp 子系統不限制 chdir,因此沒有理由期望它可以工作。您需要通過某種方式強制使用者使用受限環境。例如SCP 監獄。使用 scp jail 您將無法直接寫入主目錄,但您可以創建一個可寫的子目錄並讓其他內容(如 Web 根目錄)指向該目錄,而不是直接指向主目錄。

引用自:https://serverfault.com/questions/549568