Linux

使用序列號登錄創建更新系統

  • August 11, 2011

我們公司的伺服器是 Linux 的鎖定版本(使用者自定義 shell,不能直接訪問)。我目前正在向使用者推送更新,但使用者拉動會更理想。

每個設備都有一個序列號,可能會用作登錄更新伺服器的一部分。

我想擁有多個頻道/分支(無論它們應該被稱為什麼),例如 MAIN 和 DEV。

**哪種協議最適合這種情況?**FTP 更容易限制目錄訪問,以防有人獲得完整的登錄資訊。SCP 會更好,因為我想保護傳輸,但我更喜歡只讀且僅限於目錄。SCP可以做到這一點嗎?

**使用者名/密碼應該是什麼?**我猜對於 SCP,序列號可能是使用者名,而不是密碼,而是為使用者生成一個密鑰。

不要使用使用者名/密碼方案。

使用 SSH 密鑰。這為您帶來以下優勢:

  • 可以使用 SCP(或 rsync 以獲得更多控制!)
  • 可以使用一個帳戶進行所有登錄,僅通過用於登錄的密鑰進行區分
  • 可以通過從 authorized_keys 中刪除密鑰來輕鬆撤銷密鑰

使用 SCP/SFTP,每個使用者都能夠準確地下載他們可以看到的內容。因此,如果使用者帳戶僅在其 homedir 中獲得讀取權限,該目錄具有指向他們應該查看的任何分支的符號連結,這就是他們將看到的以及他們將能夠獲得的。

通過作為使用者之一登錄並嘗試訪問less您想要保護的文件進行測試。如果您的權限設置正確,您將無法這樣做。

使用者名/密碼當然可以是您建議的。不過,請記住,如果受到威脅,可以通過某種方式更新設備上的密鑰。

引用自:https://serverfault.com/questions/300100