访问SFTP bin/bash

Question

我在 Plesk 中打开了一个域，并希望为用户提供 SFTP 访问权限，以确保通过 FTP 进行的传输安全。

当我选择“使用用户凭据 /bin/bash Shell 访问服务器”时，我收到一条消息，指出启用此功能非常危险，只有在我信任用户的情况下才应启用它。

我试图了解为用户启用 SFTP 可能会带来哪些危险。

提前致谢！

乔尔

Answer 1

好吧，我对 plesk 一无所知，但 sftp 使用 ssh 来隧道客户端和服务器之间的通信。因此，用户可以使用 ssh 访问您的服务器，并获得一个成熟的 shell 来执行一些令人讨厌的事情。如果你不注意，他可以读取其他用户的主页，或者读取你的服务器的配置。

除非您对用户进行 chroot，并进一步关注 hdd、cpu、mem...限制，否则您不应允许潜在不可信用户通过 ssh 访问您的服务器。
据我所知，如果没有完整的 ssh 访问权限，则无法允许 sftp/scp。

Answer 2

通常，在 Plesk 中向某人提供 shell /bin/bash（chrooted）是实现此目的的方法。就我个人而言，我不认为这是一个巨大的安全问题，但这取决于您的服务器在权限方面的锁定程度。

您还可以考虑将 proftpd 设置为使用 SSL，而不是给予他们 SFTP 访问权限，因为这不需要他们有 shell，并且他们的 shell 仍然可以是 /bin/false。

Answer 3

如果您只想授予用户 scp/sftp-access 权限，则可以将 shell 设置为 scponly。

在 Ubuntu 中，scponly 由 scponly 软件包提供，安装后位于 /usr/bin/scponly。