LINUX.ORG.RU

История изменений

Исправление Stack77, (текущая версия) :

ForceCommand sudo -u mysftpuser /usr/lib/openssh/sftp-server

Блин, вообще рабочий вариант, наверно. Подумал, раз ForceCommand будет запускать команду с привилегиями «гостя», то не вариант. Погорячился. Можно же в sudoers NOPASSWD сделать на «гостя» конкретно для sftp-server. Я же правильно размышляю? А как это на ИБ скажется? Так то не очень хорошо, что «гость» будет иметь такие права, пусть даже только на sftp-server.

Еще хотелось бы internal-sftp использовать. Но раз других вариантов нет, пойдет. Только /usr/lib/openssh/sftp-server не стартанет от пользователя с /usr/sbin/nologin, да?

Ладно. Спасибо! Буду на днях проверять.

P.S. С другой стороны, как-то не очень мне нравится идея всех «гостей» прописывать в sudoers с NOPASSWD. Других идей нет?

Исправление Stack77, :

ForceCommand sudo -u mysftpuser /usr/lib/openssh/sftp-server

Блин, вообще рабочий вариант, наверно. Подумал, раз ForceCommand будет запускать команду с привилегиями «гостя», то не вариант. Погорячился. Можно же в sudoers NOPASSWD сделать на «гостя» конкретно для sftp-server. Я же правильно размышляю? А как это на ИБ скажется? Так то не очень хорошо, что «гость» будет иметь такие права, пусть даже только на sftp-server.

Еще хотелось бы internal-sftp использовать. Но раз других вариантов нет, пойдет. Только /usr/lib/openssh/sftp-server не стартанет от пользователя с /usr/sbin/nologin, да?

Ладно. Спасибо! Буду на днях проверять.

Исходная версия Stack77, :

ForceCommand sudo -u mysftpuser /usr/lib/openssh/sftp-server

Блин, вообще рабочий вариант, наверно. Подумал, раз ForceCommand будет запускать команду с привилегиями «гостя», то не вариант. Погорячился. Можно же в sudoers NOPASSWD сделать на mysftpuser конкретно для sftp-server. Я же правильно размышляю? А как это на ИБ скажется? Так то не очень хорошо, что «гость» будет иметь такие права, пусть даже только на sftp-server.

Еще хотелось бы internal-sftp использовать. Но раз других вариантов нет, пойдет. Только /usr/lib/openssh/sftp-server не стартанет от пользователя с /usr/sbin/nologin, да?

Ладно. Спасибо! Буду на днях проверять.