On Fri, Oct 31, 2003 at 02:59:30PM +0100, Tommy Dugandzic wrote: > 1. Vad vore säkrast mot intrång - att installera en vsftpd-server eller > skapa vanliga shellkonton så användare kan använda sftp (via ssh)?
vsftpd är nog smidigare att sätta upp, den chrootar användare men skickar användarnamn och lösenord i klartext (precis som vanlig ftp) sftp kräver skal, lite bökigare att sätta upp vettigt och fungerar som ssh (inloggade kan gå runt i systemet) > 2. Vilken är din fria favorit-sftp-klient för GNU/Debian? M$ Windows har > en användarvänlig sådan: > http://winscp.sourceforge.net/eng/screenshots/large/commander.gif sftp > 3. Räcker det om jag skapar ett vanligt shellkonto där jag ändrar > shellet till /bin/false, ifall jag vill tillåta ett gäng användare få > tillgång till en katalog och dess filer på min dator? Nej, sftp kräver ett skal precis som ssh. du kan däremot använda /usr/lib/sftp-server som skal för att begränsa inloggningen till sftp. som tidigare var sagt så får inte användare tillgång till _en_ katalog utan kan gå runt i systemet precis som om användaren logga in med ssh. det går dock att chroota användare och se till att dom enbart kan logga in med sftp, se nedan. > Vore det "helt > säkert"? nej. en bökigare men säkrare variant är nog följande: . konfigurera och bygg en kernel + grsecurity [1] . chroota de användare som ska få sftp-konto [2] . byt ut användarnas skal i chroot till /usr/lib/sftp-server . använd grsecuritys acl system och göm /home i chroot och sätt så att alla andra filer i chroot förutom i hemkatalogerna enbart kan läsas [1] www.grsecurity.org [2] www.gsyc.inf.uc3m.es/~assman/jail/index.html /Thomas -- == [EMAIL PROTECTED] | [EMAIL PROTECTED] == Encrypted e-mails preferred | GPG KeyID: 114AA85C --
signature.asc
Description: Digital signature
