大事なクライアントサーバに生FTPで繋ぐと何があるか分かりませんので、、
FTPの暗号方式の一つ、SFTPを導入しています。
SCPは使った事あるんですが、そもそもmacで作業してるので、winSCPが使えません。
なので、macでも使えるFileZillaが扱える暗号化方式のSFTPを使用しています。
基本SSHなので、注意すべき点は、
・ポートの設定がSSHで設定したポートになる。
・SFTP用アカウントでSFTPのみしか使わせないように制限する事
以下はSFTP用アカウントの機能制限の方法です。
/etc/ssh/sshd_configを変更します。
標準のsftp-serverからsshd内部のinternal-sftpに変更
#Subsystem sftp /usr/libexec/openssh/sftp-server Subsystem sftp internal-sftp
ユーザ又はグループ毎に制限追記
Match User designer
ChrootDirectory /var/www
ForceCommand internal-sftp
[注意]
上の方法でChrootDirectoryをしないと、SFTP接続時にchrootされません。
/home/hogeにchrootする場合は、/home/hogeを必ずroot:rootにしてパーミッション755に設定して、FTP接続時、SFTP接続時の両方でchrootされるようにします。
以上です。
0 コメント:
コメントを投稿