Security
從 RHEL 5 機器安全傳輸數據
我已經對此進行了一段時間的研究,但找不到確鑿的答案。FTP - 非常不安全。FTP over Ssl - 並非所有地方都完全支持,只有少數客戶端支持?SFTP - 這是我一直在嘗試的,因為它是最安全的?
從與 redhat 的談話來看,RHEL 5 (sshd) 不支持個人使用者的 chroot jails,因此使用者可以查看系統文件等……這一定是一個安全風險。他們還可以查看其他使用者文件。
有沒有其他選擇,人們必須一直有這種情況,有沒有最佳實踐選擇?
感謝您提供任何幫助/資訊!
SFTP/SCP 絕對是您列出的最安全的選項,並且是傳統 FTP 訪問系統的相當標準。
RedHat 是對的,RHEL5 中的 sshd 版本太舊,無法支持 ChrootDirectory 選項,該選項使 sshd 自動為 SCPing 使用者設置 chroot。也就是說,允許使用者查看文件系統不一定會帶來巨大的安全風險——非特權使用者將難以對正確設置的系統造成重大損害——主要風險將是本地權限提升,因為 scp 訪問需要一個工作 shell。
不過,每個級別的安全性都是首選選項,因此有一些解決方法:
scponly ( http://sublimation.org/scponly | RPMs: http://packages.sw.be/scponly/ ) 替換了使用者 shell,因此他們只能讀/寫文件而不能執行它們。
還有其他指南和腳本可以為你自製一個 chroot 的 scp 會話(注意,我沒有測試過這個特定的腳本,它只是在Google搜尋中名列前茅):http ://www.fuschlberger.net /programs/ssh-scp-sftp-chroot-jail/