Jak zainstalować i skonfigurować rssh oraz scponly na Linuxie

Wprowadzenie

Zarządzając serwerem Linux, zapewnienie ograniczonego dostępu użytkowników do transferów plików bez przyznawania pełnego dostępu do powłoki jest powszechnym problemem bezpieczeństwa. Dwa narzędzia, które pomagają to osiągnąć, to rssh i scponly. Te ograniczone powłoki pozwalają użytkownikom na wykonywanie określonych operacji transferu plików za pomocą SCP, SFTP i rsync, jednocześnie zapobiegając wykonywaniu poleceń.

W tym przewodniku omówimy instalację i konfigurację rssh i scponly w systemie Linux.

Instalacja rssh

Instalacja rssh

Większość dystrybucji Linuxa udostępnia rssh w swoich repozytoriach pakietów. Możesz go zainstalować, używając następujących poleceń:

Dla Debian/Ubuntu:

sudo apt update && sudo apt install rssh -y

Dla CentOS/RHEL:

sudo yum install rssh -y

Dla Arch Linux:

sudo pacman -S rssh

Konfiguracja rssh

Po zainstalowaniu skonfiguruj rssh, edytując jego plik konfiguracyjny:

sudo nano /etc/rssh.conf

Odkomentuj wymagane opcje, aby zezwolić na SCP, SFTP lub rsync. Przykład:

allowscp
allowsftp
allowrsync

Zapisz i zamknij plik.

Utwórz użytkownika z rssh

Aby przypisać rssh jako powłokę dla konkretnego użytkownika, uruchom:

sudo usermod -s /usr/bin/rssh username

Teraz użytkownik może wykonywać tylko dozwolone operacje za pomocą SCP, SFTP lub rsync.

Instalacja scponly

Instalacja scponly

Dla systemów opartych na Debianie:

sudo apt update && sudo apt install scponly -y

Dla CentOS/RHEL:

sudo yum install scponly -y

Dla Arch Linux:

sudo pacman -S scponly

Ustaw scponly dla użytkownika

Aby ograniczyć użytkownika do scponly, zmodyfikuj jego powłokę:

sudo usermod -s /usr/bin/scponly username

Aby upewnić się, że użytkownik jest odpowiednio ograniczony, przetestuj za pomocą:

ssh username@server

Powinno to odmówić dostępu do powłoki, ale umożliwić transfery plików SCP/SFTP.

Testowanie i weryfikacja

Aby zweryfikować konfigurację, spróbuj transferów plików za pomocą:

Dla SCP:

scp file.txt username@server:/home/username/

Dla SFTP:

sftp username@server

Jeśli wszystko jest poprawnie skonfigurowane, użytkownicy powinni być w stanie transferować pliki, ale nie wykonywać poleceń.

Podsumowanie

Używając rssh i scponly, administratorzy mogą zwiększyć bezpieczeństwo, ograniczając dostęp użytkowników tylko do transferów plików. Zapobiega to nieautoryzowanemu dostępowi do powłoki, jednocześnie umożliwiając niezbędne operacje wymiany plików. Upewnij się, że regularnie aktualizujesz konfiguracje, aby były zgodne z politykami bezpieczeństwa.