限制 OpenSSH 仅允许上传到某些目录

Question

我需要从多个服务器运行备份到另一台服务器上的单个帐户。 如果其中一台公共服务器受到损害，我不希望备份帐户上的另一台服务器的文件受到损害。

我需要做的只是根据传入连接的 ssh 密钥允许 SCP 访问特定目录。

我知道我可以在authorized_keys 文件中设置 shell 和每个密钥的几个选项。 http://www.manpagez.com/man/8/sshd/ (向下滚动到“AuthorizedKeysFile”）

我不知道如何将内部 sftp 命令设置为仅使用某个目录。 我的机器上没有 root，所以我无法执行正常的内部 sftp + chroot。

Answer 1

事实并非如此。

您需要做的是为每个备份主机设置一个迷你 chroot 监狱。 它只需要能够运行 sh 和 scp （/dev 只需要 /dev/null 条目）。

使用 jailsh 作为每个帐户的登录 shell。

Jailsh 是一个 suid-root 登录 shell，它将 chroot Jail 设置为由两个连续斜杠标记的目录，删除 root 权限，并执行 /bin/sh。