Chci mít možnost používat SFTP k úpravám souborů, které vyžadují oprávnění root.
Používám ověřování založené na klíči SSH – klíč rsa na čipové kartě.
Pokud systém vyžaduje sudo k provádění příkazů na kořenové úrovni, Jak to obejít?
Mohu vytvořit způsob, jak obejít sudo pouze pro SFTP?
Existuje způsob, jak zachovat autentizaci sudo a klíče.
Pro připojení k Ubuntu používám Windows. Potřebuji to, aby to fungovalo i s připojením Macu k Ubuntu.
Rozumím tomu, jak provádět SSH Tunneling pro správu systémových služeb. V současné době používám přihlášení uživatele root přímo, ale přihlášení pomocí hesla je zakázáno. Nerozuměl jsem, jak používat sudo a SFTP současně. Zdá se, že je nejlepším postupem vyžadovat přihlášení jako uživatel bez oprávnění root a poté vyžadovat použití sudo, protože protokoly zaznamenají, komu byla udělena eskalovaná oprávnění pro každý příkaz.
Měl bych se tím zabývat při používání autentizace na základě klíče nebo je to triviální rozdíl v zabezpečení/protokolování? Zdá se, že autentizace na základě klíče zaznamenává sériové číslo uživatele do protokolů a pro uživatele root můžete mít několik klíčů k identifikaci každého uživatele. Zdá se mi to stejný efekt jako při použití sudo. Mýlím se?
Přijatá odpověď:
SFTP je příkazový přístup k operacím se soubory s omezeními z účtu, který používáte. Pro více administrativních operací musíte použít ssh, což znemožňuje použití sudo a SFTP současně. Pokud potřebujete přístup k celému disku bez omezení pomocí SFTP, udělejte to pomocí účtu root. Každopádně se můžete přihlásit pomocí root na sftp a ssh současně, samozřejmě pomocí dvou různých relací.
Bezpečnostní klíče zlepšují zabezpečení a usnadňují protokolování, nevyžadují vstup z klávesnice. Pomáhá pouze přihlášení, můžete mít několik hesel pro každého uživatele účtu a mělo to stejný účinek.
EDIT:Zapomněl jsem:můžete vytvořit jiný účet se stejným účinkem než root, pokud přiřadíte ID uživatele 0, ale nemělo to žádný smysl a bylo to nebezpečné stejným způsobem. Mohlo by to způsobit zmatek, kdyby se někdo pokusil přihlásit jako root, ale kromě toho to nemělo moc smysl.