如何在 RHEL 服务器上安全地托管文件并允许用户下载

Question

我编写了一个应用程序，用户可以用它来处理基因组数据。该应用程序依赖于 10GB 的数据库文件，用户必须下载该数据库文件才能运行该应用程序。目前，我已将此文件存储在 Google Drive 上，但下载带宽有限，因此如果某一天有多个用户下载该文件，则其他用户将无法使用该文件，并且他们在运行应用程序时会出错。

我的解决方案是将文件托管在我们的研究服务器上，创建一个仅具有此文件夹访问权限而无其他权限的用户，并通过该用户在应用程序（开源）中通过 scp 从服务器下载文件。

我现在的问题是，这样做安全吗？或者人们是否有可能侵入我们的服务器？如果此方法存在安全风险，那么提供此文件的更好方法是什么？

先感谢您！

Answer 1

您想将SSH（SCP）用作文件托管的运输和身份验证方法。可以谨慎可以保持这种安全。例如，GitHub在使用GIT+SSH协议提供GIT访问时使用SSH进行运输。

现在，出于小心部分，如果您以前从未做过，那不是一项琐碎的任务。

实现此目的的正确方法将在Chroot环境中设置为孤立的SSH服务器，并仅在此孤立的SSH实例上设置SSH用户（不是系统中添加的用户EG userAdd ）。然后，您可以添加Chroot绝对必要的文件，并为用户提供SSH访问权限。

如今

（ 只要您对HTTP和TLS有一些了解。互联网上有很多关于此的著作。

两种方式，如果要将服务器公开到Internet或Intranet，则需要确保防火墙。如果还没有，请考虑了解Nftables或Firewalld之类的信息。

Answer 2

SSH 相当安全。始终保持软件最新。

设置仅 sftp 用户和 chroot 目录。在 /etc/ssh/sshd_config 中：

Match User MyUser
    ChrootDirectory /var/ssh/chroot
    ForceCommand internal-sftp
    AllowTcpForwarding no
    PermitTunnel no
    X11Forwarding no

该用户将不会获得 shell（因为内部 sftp），并且无法看到 /var/ssh/chroot 之外的文件。

除密码外，还使用客户端证书。
对证书设置过程的良好描述：
https： //www.digitalocean.com/community/tutorials/how-to-configure-ssh-key-based-authentication-on-a-linux-server

Answer 3

您的解决方案具有一定的安全性。
更好的解决方案是将其放在可通过 sftp 访问的服务器上，并使用密码，同时对文件进行加密：通过这种方式，您可以引入双层保护。
在 Linux 服务器上，您应该能够使用 gpg 之类的工具来加密您的文件。
接下来，您可以使用安全通道（例如端到端加密消息传递软件）与合作伙伴共享解密密钥。

Answer 4

Aloha

您可以设置免费的 Seafile https://www.seafile.com/en/home/< /a>，或者要求管理员为您设置它，这非常安全，就像具有 2fa 身份验证的自托管谷歌驱动器一样。

另一个简单易用的工具是 github 上的 Filebrowser (https://github.com/filebrowser/filebrowser)

我真的不建议让人们在您的网络内进行 shell/scp 访问。
在公司网络内托管任何东西通常不是最明智的想法，总是存在风险。

我会在网络之外的廉价租用服务器上设置 Seafile/filebrowser 解决方案并将其上传到那里。或者，如果您还有一台小型电脑，请将其设置在 DMZ 区域中，该区域在您的公司内部具有特殊的访问限制。