Linux

向使用者授予 SSH 訪問權限以及安全問題

  • April 15, 2015

好的,所以我有一個 VPS,我為一個朋友創建了一個帳戶,這樣他就可以託管自己的域(使用 DirectAdmin 中的經銷商功能)。他要求 SSH 訪問,我知道這可能是個壞主意。他是否有權訪問我的整個伺服器,例如執行命令、訪問我在伺服器上託管的域?我使用他的帳戶詳細資訊登錄到我的 SSH,它讓我可以瀏覽所有根文件夾/文件,他的帳戶位於 /home/AccountName/ 下。

反正有沒有限制他只訪問他的文件夾?他可以使用的命令是什麼?

編輯:他可以在我的伺服器上安裝程序等等嗎?

作為普通使用者,您的朋友不會對您的伺服器造成太大傷害(當然他們可以產生分叉炸彈或填滿您的磁碟,但如果他們真的是朋友,他們可能不會採取行動像那樣)。如果我的朋友要求提供帳戶,他們會在我的機器上獲得實際的登錄 shell,並嚴厲地訓誡說,如果他們做任何讓我生氣的事情,他們將被從機器上啟動。

聽起來您不太信任您的“朋友”,所以除了 The Rook 的回答之外,我還要說一個能夠執行 PHP 腳本的能力中等的人幾乎與不受限制的使用者一樣危險(可登錄)SSH 訪問,我假設您的伺服器允許 PHP。請記住,使用者可以通過 PHP 執行不受信任的程式碼,包括在您的系統上下載、編譯和執行其他任意程序(儘管在 Web 伺服器使用者權限的限制範圍內)。一般而言,除非您正在 chroot/jailing 您的網路伺服器,否則您的朋友可以通過他的登錄 shell 看到的任何東西,他可以通過一些不太有創意的 PHP 腳本看到。

底線:在您的系統上給某人一個帳戶,然後在 /etc/passwd 中鎖定他們的 shell 並設置 SFTP chroot 選項會有所幫助,但您應該真正考慮任何訪問的安全隱患,以及您對這個人的信任程度。

引用自:https://serverfault.com/questions/136753